ສົບຂອງການຂູດຮີດເງິນກູ້ຂອງ Euler Finance ໄດ້ເປີດເຜີຍວ່າ ຊ່ອງໂຫວ່ຢູ່ໃນຮາກຂອງການຂູດຮີດຍັງຄົງຢູ່ໃນລະບົບຕ່ອງໂສ້ເປັນເວລາ 8 ເດືອນ.
ເປັນຜົນມາຈາກຄວາມອ່ອນແອ, Euler Finance ໄດ້ສູນເສຍ 200 ລ້ານໂດລາໃນຕົ້ນອາທິດນີ້.
ຊ່ອງໂຫວ່ອາຍຸແປດເດືອນ
ຄູ່ຮ່ວມງານການກວດສອບຂອງ Euler Finance, Omniscia, ໄດ້ເປີດເຜີຍບົດລາຍງານ postmortem ລາຍລະອຽດການວິເຄາະຊ່ອງໂຫວ່ທີ່ແຮກເກີໄດ້ຂູດຮີດໃນຕົ້ນອາທິດ. ອີງຕາມບົດລາຍງານການເສຍຊີວິດ, ຊ່ອງໂຫວ່ໄດ້ເກີດຂື້ນຈາກກົນໄກການບໍລິຈາກທີ່ບໍ່ຖືກຕ້ອງຂອງອະນຸສັນຍາການເງິນທີ່ມີການແບ່ງຂັ້ນຄຸ້ມຄອງ, ເຊິ່ງອະນຸຍາດໃຫ້ການບໍລິຈາກສາມາດປະຕິບັດໄດ້ໂດຍບໍ່ມີການກວດສອບສຸຂະພາບທີ່ເຫມາະສົມ. ລະຫັດໄດ້ຖືກນໍາສະເຫນີໃນ eIP-14, ໂປໂຕຄອນທີ່ນໍາສະເຫນີການປ່ຽນແປງໃນລະບົບນິເວດການເງິນ Euler.
Euler Finance ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສ້າງ leverage ທຽມໂດຍການຂຸດຄົ້ນແລະເງິນຝາກຊັບສິນໃນທຸລະກໍາດຽວກັນ. ກົນໄກນີ້ເຮັດໃຫ້ຜູ້ໃຊ້ສາມາດ mint tokens ຫຼາຍກ່ວາຫຼັກຊັບທີ່ຖືໂດຍ Euler Finance ເອງ. ກົນໄກໃຫມ່ໄດ້ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສາມາດບໍລິຈາກຍອດເງິນຂອງເຂົາເຈົ້າໃຫ້ກັບຍອດເງິນສະຫງວນຂອງ token ທີ່ພວກເຂົາເຮັດທຸລະກໍາກັບ. ຢ່າງໃດກໍ່ຕາມ, ມັນບໍ່ໄດ້ດໍາເນີນການກວດສຸຂະພາບໃດໆຢູ່ໃນບັນຊີທີ່ດໍາເນີນການບໍລິຈາກ.
ຊ່ອງໂຫວ່ຖືກຂູດຮີດແນວໃດ
ການບໍລິຈາກຈະເຮັດໃຫ້ຫນີ້ສິນຂອງຜູ້ໃຊ້ (DToken) ບໍ່ປ່ຽນແປງ. ຢ່າງໃດກໍຕາມ, ຍອດເງິນທຶນ (EToken) ຂອງພວກເຂົາຈະຫຼຸດລົງ. ໃນຈຸດນີ້, ການຊໍາລະບັນຊີຂອງຜູ້ໃຊ້ຈະນໍາໄປສູ່ສ່ວນຫນຶ່ງຂອງ Dtokens ທີ່ຍັງເຫຼືອ, ນໍາໄປສູ່ການສ້າງຫນີ້ສິນທີ່ບໍ່ດີ. ຂໍ້ບົກພ່ອງນີ້ເຮັດໃຫ້ຜູ້ໂຈມຕີສ້າງຕໍາແຫນ່ງທີ່ເກີນຂອບເຂດແລະຫຼັງຈາກນັ້ນເຮັດໃຫ້ມັນເຂົ້າໄປໃນທ່ອນໄມ້ດຽວກັນໂດຍການເຮັດໃຫ້ມັນ "ຢູ່ໃຕ້ນ້ໍາ."
ເມື່ອແຮກເກີໄດ້ຊໍາລະຕົວເອງ, ສ່ວນຫຼຸດຕາມອັດຕາສ່ວນແມ່ນຖືກນໍາໃຊ້, ເຊິ່ງເຮັດໃຫ້ຜູ້ຊໍາລະຫນີ້ຕ້ອງເອົາສ່ວນທີ່ສໍາຄັນຂອງຫນ່ວຍ EToken ໃນສ່ວນຫຼຸດແລະຮັບປະກັນວ່າພວກເຂົາຈະ "ຢູ່ເຫນືອນ້ໍາ", ເຊິ່ງກໍ່ໃຫ້ເກີດຫນີ້ສິນທີ່ຈະກົງກັບຫຼັກຊັບທີ່ໄດ້ມາ. ອັນນີ້ຈະສົ່ງຜົນໃຫ້ຜູ້ລະເມີດໜີ້ເສຍ (DTokens) ແລະຜູ້ຊຳລະໜີ້ທີ່ມີການຄ້ຳປະກັນເກີນໜີ້ສິນຂອງເຂົາເຈົ້າ.
Omniscia ລະບຸວ່າຄຸນສົມບັດທີ່ເປັນຈຸດໃຈກາງຂອງຄວາມອ່ອນແອນັ້ນບໍ່ໄດ້ຢູ່ໃນຂອບເຂດຂອງການກວດສອບໃດໆທີ່ດໍາເນີນໂດຍບໍລິສັດ. ອີງຕາມການວິເຄາະ, ການກວດສອບຂອງພາກສ່ວນທີສາມແມ່ນຮັບຜິດຊອບສໍາລັບການທົບທວນຄືນລະຫັດໃນຄໍາຖາມ, ເຊິ່ງຫຼັງຈາກນັ້ນໄດ້ຮັບການອະນຸມັດ. ຟັງຊັນ donateToReserves ໄດ້ຖືກກວດສອບໃນເດືອນກໍລະກົດ 2022 ໂດຍທີມງານ Sherlock. Euler ແລະ Sherlock ຍັງຢືນຢັນວ່າອະດີດມີນະໂຍບາຍການຄຸ້ມຄອງຢ່າງຫ້າວຫັນກັບ Sherlock ໃນເວລາທີ່ການຂູດຮີດເກີດຂຶ້ນ.
Euler Finance ເຮັດວຽກຮ່ວມກັບກຸ່ມຄວາມປອດໄພ
ປະຕິບັດຕາມການຂູດຮີດ, Euler Finance ກ່າວວ່າ ພິທີດັ່ງກ່າວໄດ້ເຮັດວຽກຮ່ວມກັບກຸ່ມຮັກສາຄວາມປອດໄພອື່ນໆ ເພື່ອດຳເນີນການກວດກາຕື່ມອີກ. ນອກນີ້, ຍັງໄດ້ແຈ້ງໃຫ້ຮູ້ວ່າ, ຍັງໄດ້ຕິດຕໍ່ຫາເຈົ້າໜ້າທີ່ປະຕິບັດກົດໝາຍ ແລະ ອົງການຕ່າງໆໃນຄວາມພະຍາຍາມກູ້ເອົາເງິນທີ່ຖືກລັກມາຄືນ.
"ພວກເຮົາເສຍໃຈຍ້ອນຜົນກະທົບຂອງການໂຈມຕີນີ້ຕໍ່ຜູ້ໃຊ້ອະນຸສັນຍາ Euler ແລະຈະສືບຕໍ່ເຮັດວຽກຮ່ວມກັບຄູ່ຮ່ວມງານດ້ານຄວາມປອດໄພຂອງພວກເຮົາ, ການບັງຄັບໃຊ້ກົດຫມາຍ, ແລະຊຸມຊົນທີ່ກວ້າງຂວາງເພື່ອແກ້ໄຂບັນຫານີ້ທີ່ດີທີ່ສຸດທີ່ພວກເຮົາສາມາດເຮັດໄດ້. ຂອບໃຈຫຼາຍໆ ສຳ ລັບການສະ ໜັບ ສະ ໜູນ ແລະໃຫ້ກຳລັງໃຈ.”
ການປະຕິເສດ: ບົດຂຽນນີ້ແມ່ນສະ ໜອງ ໃຫ້ເພື່ອຈຸດປະສົງຂໍ້ມູນເທົ່ານັ້ນ. ມັນບໍ່ໄດ້ຖືກສະ ເໜີ ຫຼືມີຈຸດປະສົງທີ່ຈະ ນຳ ໃຊ້ເປັນກົດ ໝາຍ, ພາສີ, ການລົງທືນ, ການເງິນ, ຫລື ຄຳ ແນະ ນຳ ອື່ນໆ.
ທີ່ມາ: https://cryptodaily.co.uk/2023/03/euler-finance-hack-postmortem-reveals-8-month-old-vulnerability