Euler Finance Hack Postmortem ເປີດເຜີຍຄວາມອ່ອນແອທີ່ມີອາຍຸ 8 ເດືອນ

ສົບຂອງການຂູດຮີດເງິນກູ້ຂອງ Euler Finance ໄດ້ເປີດເຜີຍວ່າ ຊ່ອງໂຫວ່ຢູ່ໃນຮາກຂອງການຂູດຮີດຍັງຄົງຢູ່ໃນລະບົບຕ່ອງໂສ້ເປັນເວລາ 8 ເດືອນ. 

ເປັນຜົນມາຈາກຄວາມອ່ອນແອ, Euler Finance ໄດ້ສູນເສຍ 200 ລ້ານໂດລາໃນຕົ້ນອາທິດນີ້. 

ຊ່ອງໂຫວ່ອາຍຸແປດເດືອນ 

ຄູ່ຮ່ວມງານການກວດສອບຂອງ Euler Finance, Omniscia, ໄດ້ເປີດເຜີຍບົດລາຍງານ postmortem ລາຍລະອຽດການວິເຄາະຊ່ອງໂຫວ່ທີ່ແຮກເກີໄດ້ຂູດຮີດໃນຕົ້ນອາທິດ. ອີງຕາມບົດລາຍງານການເສຍຊີວິດ, ຊ່ອງໂຫວ່ໄດ້ເກີດຂື້ນຈາກກົນໄກການບໍລິຈາກທີ່ບໍ່ຖືກຕ້ອງຂອງອະນຸສັນຍາການເງິນທີ່ມີການແບ່ງຂັ້ນຄຸ້ມຄອງ, ເຊິ່ງອະນຸຍາດໃຫ້ການບໍລິຈາກສາມາດປະຕິບັດໄດ້ໂດຍບໍ່ມີການກວດສອບສຸຂະພາບທີ່ເຫມາະສົມ. ລະຫັດໄດ້ຖືກນໍາສະເຫນີໃນ eIP-14, ໂປໂຕຄອນທີ່ນໍາສະເຫນີການປ່ຽນແປງໃນລະບົບນິເວດການເງິນ Euler. 

Euler Finance ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສ້າງ leverage ທຽມໂດຍການຂຸດຄົ້ນແລະເງິນຝາກຊັບສິນໃນທຸລະກໍາດຽວກັນ. ກົນໄກນີ້ເຮັດໃຫ້ຜູ້ໃຊ້ສາມາດ mint tokens ຫຼາຍກ່ວາຫຼັກຊັບທີ່ຖືໂດຍ Euler Finance ເອງ. ກົນໄກໃຫມ່ໄດ້ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສາມາດບໍລິຈາກຍອດເງິນຂອງເຂົາເຈົ້າໃຫ້ກັບຍອດເງິນສະຫງວນຂອງ token ທີ່ພວກເຂົາເຮັດທຸລະກໍາກັບ. ຢ່າງໃດກໍ່ຕາມ, ມັນບໍ່ໄດ້ດໍາເນີນການກວດສຸຂະພາບໃດໆຢູ່ໃນບັນຊີທີ່ດໍາເນີນການບໍລິຈາກ. 

ຊ່ອງໂຫວ່ຖືກຂູດຮີດແນວໃດ 

ການບໍລິຈາກຈະເຮັດໃຫ້ຫນີ້ສິນຂອງຜູ້ໃຊ້ (DToken) ບໍ່ປ່ຽນແປງ. ຢ່າງໃດກໍຕາມ, ຍອດເງິນທຶນ (EToken) ຂອງພວກເຂົາຈະຫຼຸດລົງ. ໃນຈຸດນີ້, ການຊໍາລະບັນຊີຂອງຜູ້ໃຊ້ຈະນໍາໄປສູ່ສ່ວນຫນຶ່ງຂອງ Dtokens ທີ່ຍັງເຫຼືອ, ນໍາໄປສູ່ການສ້າງຫນີ້ສິນທີ່ບໍ່ດີ. ຂໍ້ບົກພ່ອງນີ້ເຮັດໃຫ້ຜູ້ໂຈມຕີສ້າງຕໍາແຫນ່ງທີ່ເກີນຂອບເຂດແລະຫຼັງຈາກນັ້ນເຮັດໃຫ້ມັນເຂົ້າໄປໃນທ່ອນໄມ້ດຽວກັນໂດຍການເຮັດໃຫ້ມັນ "ຢູ່ໃຕ້ນ້ໍາ."

ເມື່ອແຮກເກີໄດ້ຊໍາລະຕົວເອງ, ສ່ວນຫຼຸດຕາມອັດຕາສ່ວນແມ່ນຖືກນໍາໃຊ້, ເຊິ່ງເຮັດໃຫ້ຜູ້ຊໍາລະຫນີ້ຕ້ອງເອົາສ່ວນທີ່ສໍາຄັນຂອງຫນ່ວຍ EToken ໃນສ່ວນຫຼຸດແລະຮັບປະກັນວ່າພວກເຂົາຈະ "ຢູ່ເຫນືອນ້ໍາ", ເຊິ່ງກໍ່ໃຫ້ເກີດຫນີ້ສິນທີ່ຈະກົງກັບຫຼັກຊັບທີ່ໄດ້ມາ. ອັນນີ້ຈະສົ່ງຜົນໃຫ້ຜູ້ລະເມີດໜີ້ເສຍ (DTokens) ແລະຜູ້ຊຳລະໜີ້ທີ່ມີການຄ້ຳປະກັນເກີນໜີ້ສິນຂອງເຂົາເຈົ້າ. 

Omniscia ລະບຸວ່າຄຸນສົມບັດທີ່ເປັນຈຸດໃຈກາງຂອງຄວາມອ່ອນແອນັ້ນບໍ່ໄດ້ຢູ່ໃນຂອບເຂດຂອງການກວດສອບໃດໆທີ່ດໍາເນີນໂດຍບໍລິສັດ. ອີງຕາມການວິເຄາະ, ການກວດສອບຂອງພາກສ່ວນທີສາມແມ່ນຮັບຜິດຊອບສໍາລັບການທົບທວນຄືນລະຫັດໃນຄໍາຖາມ, ເຊິ່ງຫຼັງຈາກນັ້ນໄດ້ຮັບການອະນຸມັດ. ຟັງຊັນ donateToReserves ໄດ້ຖືກກວດສອບໃນເດືອນກໍລະກົດ 2022 ໂດຍທີມງານ Sherlock. Euler ແລະ Sherlock ຍັງຢືນຢັນວ່າອະດີດມີນະໂຍບາຍການຄຸ້ມຄອງຢ່າງຫ້າວຫັນກັບ Sherlock ໃນເວລາທີ່ການຂູດຮີດເກີດຂຶ້ນ. 

Euler Finance ເຮັດວຽກຮ່ວມກັບກຸ່ມຄວາມປອດໄພ 

ປະຕິບັດຕາມການຂູດຮີດ, Euler Finance ກ່າວ​ວ່າ ພິທີ​ດັ່ງກ່າວ​ໄດ້​ເຮັດ​ວຽກ​ຮ່ວມ​ກັບ​ກຸ່ມ​ຮັກສາ​ຄວາມ​ປອດ​ໄພ​ອື່ນໆ ​ເພື່ອ​ດຳ​ເນີນ​ການ​ກວດກາ​ຕື່ມ​ອີກ. ນອກ​ນີ້, ຍັງ​ໄດ້​ແຈ້ງ​ໃຫ້​ຮູ້​ວ່າ, ຍັງ​ໄດ້​ຕິດ​ຕໍ່​ຫາ​ເຈົ້າ​ໜ້າ​ທີ່​ປະຕິບັດ​ກົດໝາຍ ​ແລະ ອົງການ​ຕ່າງໆ​ໃນ​ຄວາມ​ພະຍາຍາມ​ກູ້​ເອົາ​ເງິນ​ທີ່​ຖືກ​ລັກ​ມາ​ຄືນ. 

"ພວກເຮົາເສຍໃຈຍ້ອນຜົນກະທົບຂອງການໂຈມຕີນີ້ຕໍ່ຜູ້ໃຊ້ອະນຸສັນຍາ Euler ແລະຈະສືບຕໍ່ເຮັດວຽກຮ່ວມກັບຄູ່ຮ່ວມງານດ້ານຄວາມປອດໄພຂອງພວກເຮົາ, ການບັງຄັບໃຊ້ກົດຫມາຍ, ແລະຊຸມຊົນທີ່ກວ້າງຂວາງເພື່ອແກ້ໄຂບັນຫານີ້ທີ່ດີທີ່ສຸດທີ່ພວກເຮົາສາມາດເຮັດໄດ້. ຂອບໃຈຫຼາຍໆ ສຳ ລັບການສະ ໜັບ ສະ ໜູນ ແລະໃຫ້ກຳລັງໃຈ.”

ການປະຕິເສດ: ບົດຂຽນນີ້ແມ່ນສະ ໜອງ ໃຫ້ເພື່ອຈຸດປະສົງຂໍ້ມູນເທົ່ານັ້ນ. ມັນບໍ່ໄດ້ຖືກສະ ເໜີ ຫຼືມີຈຸດປະສົງທີ່ຈະ ນຳ ໃຊ້ເປັນກົດ ໝາຍ, ພາສີ, ການລົງທືນ, ການເງິນ, ຫລື ຄຳ ແນະ ນຳ ອື່ນໆ.