Mae post mortem o ecsbloetio benthyciad fflach Euler Finance wedi datgelu bod y bregusrwydd sydd wrth wraidd y camfanteisio wedi aros ar y gadwyn am 8 mis.
O ganlyniad i'r bregusrwydd, collodd Euler Finance $200 miliwn yn gynharach yr wythnos hon.
Bregusrwydd Wyth Mis-Hen
Mae partner archwilio Euler Finance, Omniscia, wedi rhyddhau adroddiad post mortem manwl yn dadansoddi’r bregusrwydd y mae hacwyr wedi’i ecsbloetio yn gynharach yn yr wythnos. Yn ôl yr adroddiad post mortem, roedd y bregusrwydd yn deillio o fecanwaith anghywir y protocol cyllid datganoledig, a oedd yn caniatáu i roddion gael eu cyflawni heb archwiliad iechyd priodol. Cyflwynwyd y cod yn eIP-14, protocol a gyflwynodd amrywiaeth o newidiadau yn ecosystem Euler Finance.
Mae Euler Finance yn caniatáu i ddefnyddwyr greu trosoledd artiffisial trwy fathu ac adneuo asedau yn yr un trafodiad. Roedd y mecanwaith hwn yn galluogi defnyddwyr i bathu mwy o docynnau na'r cyfochrog a ddelir gan Euler Finance ei hun. Roedd y mecanwaith newydd yn galluogi defnyddwyr i gyfrannu eu balans i falans wrth gefn y tocyn y gwnaethant drafod ag ef. Fodd bynnag, methodd â chynnal unrhyw fath o wiriad iechyd ar y cyfrif a gyflawnodd y rhodd.
Sut y Manteisiwyd ar y Bregusrwydd
Byddai'r rhodd wedi achosi i ddyled y defnyddiwr (DToken) aros yn ddigyfnewid. Fodd bynnag, byddai eu cydbwysedd ecwiti (EToken) yn gweld gostyngiad. Ar y pwynt hwn, byddai datodiad o gyfrif y defnyddiwr yn arwain at gyfran o'r Dtokens yn weddill, gan arwain at greu dyledion drwg. Roedd y diffyg hwn yn caniatáu i'r ymosodwr greu safle gor-drosoledd ac yna ei ddiddymu ei hun yn yr un bloc trwy achosi iddo fynd "o dan ddŵr" yn artiffisial.
Pan fydd yr haciwr yn ymddatod ei hun, rhoddir gostyngiad yn seiliedig ar ganran, gan achosi i'r diddymwr gael cyfran sylweddol o unedau EToken ar ddisgownt a gwarantu y byddent “uwchben y dŵr”, gan fynd i ddyled a fyddai'n cyfateb i'r cyfochrog a gaffaelwyd. Byddai hyn yn arwain at droseddwr â dyledion drwg (DTokens) a datodydd sy'n gorgyfochrog â'u dyled.
Dywedodd Omniscia nad oedd y nodwedd a oedd wrth wraidd y bregusrwydd yng nghwmpas unrhyw archwiliadau a gynhaliwyd gan y cwmni. Yn ôl y dadansoddiad, archwiliad trydydd parti oedd yn gyfrifol am adolygu'r cod dan sylw, a gafodd ei gymeradwyo wedyn. Archwiliwyd swyddogaeth DonateToReserves ym mis Gorffennaf 2022 gan Dîm Sherlock. Cadarnhaodd Euler a Sherlock hefyd fod gan y cyntaf bolisi darlledu gweithredol gyda Sherlock pan ddigwyddodd y camfanteisio.
Euler Finance yn Gweithio Gyda Grwpiau Diogelwch
Yn dilyn y camfanteisio, Euler Cyllid Dywedodd fod y protocol yn gweithio gyda grwpiau diogelwch eraill i gynnal archwiliadau pellach. Yn ogystal, dywedodd ei fod hefyd wedi cysylltu â swyddogion gorfodi'r gyfraith ac asiantaethau mewn ymdrech i adennill yr arian a ddygwyd.
“Rydym wedi ein syfrdanu gan effaith yr ymosodiad hwn ar ddefnyddwyr protocol Euler a byddwn yn parhau i weithio gyda’n partneriaid diogelwch, gorfodi’r gyfraith, a’r gymuned ehangach i ddatrys hyn orau y gallwn. Diolch yn fawr iawn am eich cefnogaeth ac anogaeth.”
Ymwadiad: Darperir yr erthygl hon at ddibenion gwybodaeth yn unig. Ni chynigir na bwriedir ei ddefnyddio fel cyngor cyfreithiol, treth, buddsoddiad, ariannol neu gyngor arall.
Ffynhonnell: https://cryptodaily.co.uk/2023/03/euler-finance-hack-postmortem-reveals-8-month-old-vulnerability