Euler Finance'in ani kredi istismarının bir ölüm sonrası değerlendirmesi, istismarın temelindeki güvenlik açığının 8 ay boyunca zincirde kaldığını ortaya çıkardı.
Güvenlik açığının bir sonucu olarak, Euler Finance bu hafta başlarında 200 milyon dolar kaybetti.
Sekiz Aylık Güvenlik Açığı
Euler Finance'in denetim ortağı Omniscia, hafta başında bilgisayar korsanlarının yararlandığı güvenlik açığını analiz eden ayrıntılı bir ölüm sonrası raporu yayınladı. Otopsi raporuna göre güvenlik açığı, merkezi olmayan finans protokolünün, bağışların uygun bir sağlık kontrolü yapılmadan gerçekleştirilmesine izin veren yanlış bağış mekanizmasından kaynaklandı. Kod, Euler Finance ekosisteminde bir dizi değişiklik getiren bir protokol olan eIP-14'te tanıtıldı.
Euler Finance, kullanıcıların aynı işlemde varlıkları basıp yatırarak yapay kaldıraç oluşturmasına olanak tanır. Bu mekanizma, kullanıcıların Euler Finance tarafından tutulan teminattan daha fazla jeton basmasını sağladı. Yeni mekanizma, kullanıcıların bakiyelerini işlem yaptıkları jetonun yedek bakiyesine bağışlamalarına izin verdi. Ancak, bağışı yapan hesapta herhangi bir sağlık kontrolü gerçekleştiremedi.
Güvenlik Açığı Nasıl Kullanıldı?
Bağış, kullanıcının borcunun (DToken) değişmeden kalmasına neden olacaktı. Ancak, öz sermaye (EToken) bakiyeleri bir düşüş görecekti. Bu noktada, kullanıcının hesabının tasfiyesi, Dtoken'ların bir kısmının kalmasına yol açarak şüpheli alacakların oluşmasına yol açacaktır. Bu kusur, saldırganın aşırı kaldıraçlı bir pozisyon oluşturmasına ve ardından yapay olarak "su altına" girmesine neden olarak aynı blokta kendisini tasfiye etmesine izin verdi.
Bilgisayar korsanı kendini tasfiye ettiğinde, yüzdeye dayalı bir indirim uygulanır ve tasfiye memurunun EToken birimlerinin önemli bir kısmını indirimli olarak ödemesine ve "su üstünde" olacaklarını garanti etmesine ve alınan teminatla eşleşen borca maruz kalmasına neden olur. Bu, kötü borcu olan bir ihlalci (DTokens) ve borcunu aşırı teminat altına alan bir tasfiye memuru ile sonuçlanacaktır.
Omniscia, güvenlik açığının temelinde yatan özelliğin firma tarafından gerçekleştirilen herhangi bir denetim kapsamında olmadığını belirtti. Analize göre, söz konusu kodun incelenmesinden üçüncü taraf bir denetim sorumluydu ve bu daha sonra onaylandı. donateToReserves işlevi, Temmuz 2022'de Sherlock Ekibi tarafından denetlendi. Euler ve Sherlock ayrıca, istismar meydana geldiğinde ilkinin Sherlock ile aktif bir kapsama politikası olduğunu doğruladı.
Euler Finance, Güvenlik Gruplarıyla Çalışıyor
İstismarın ardından, Euler Finans protokolün daha fazla denetim gerçekleştirmek için diğer güvenlik gruplarıyla birlikte çalıştığını belirtti. Ayrıca, çalınan fonları geri almak için kolluk kuvvetleri ve kurumlarıyla da temasa geçtiğini belirtti.
"Bu saldırının Euler protokol kullanıcıları üzerindeki etkisi bizi mahvetti ve bunu elimizden geldiğince çözmek için güvenlik ortaklarımız, kolluk kuvvetleri ve daha geniş toplulukla birlikte çalışmaya devam edeceğiz. Desteğiniz ve cesaretlendirmeniz için çok teşekkür ederim.”
Sorumluluk Reddi: Bu makale yalnızca bilgi amaçlı sağlanmıştır. Yasal, vergi, yatırım, mali veya başka bir tavsiye olarak sunulmaz veya kullanılması amaçlanmaz.
Kaynak: https://cryptodaily.co.uk/2023/03/euler-finance-hack-postmortem-reveals-8-month-old-vulnerability