تمكين خطأ التعليمات البرمجية هجوم القرض السريع
تم استغلال أويلر ، وهو بروتوكول إقراض يحتوي على أكثر من 400 مليون دولار من أصول المستخدم حتى يوم أمس ، منذ ما يقرب من $200M فيما قد يكون أكبر استغلال لـ DeFi في عام 2023.
تمكن المهاجم من ذلك سرقة ما يقرب من 136 مليون دولار من stETH في Lido Finance ، و 34 مليون دولار أمريكي من USDC ، و 18.5 مليون دولار أمريكي من WBTC و 8.8 مليون دولار أمريكي في DAI.
فقد رمز EUL الخاص بالحوكمة في البروتوكول أكثر من نصف قيمته في أعقاب الهجوم.
فريق أويلر لديه مؤكد أنها تعمل مع TRM Labs و Chainalysis ومجتمع أمان Ethereum الأوسع لتتبع ومحاولة استرداد الأموال المسروقة. كما تم إخطار سلطات إنفاذ القانون في المملكة المتحدة والولايات المتحدة.
يبلغ إجمالي قيمة أويلر المقفلة (TVL) حاليًا ما يزيد قليلاً عن 10 ملايين دولار.
وظيفة ضعيفة
نشأ الاستغلال من ثغرة في وظيفة عقد ذكي تسمى تبرع للاحتفاظ تمت إضافته كجزء من إصلاح شامل منذ ثمانية أشهر ويسمح للمستخدمين بالتبرع بأرصدة صغيرة لاحتياطي البروتوكول.
يستخدم أويلر نوعين من الرموز لتتبع أرصدة المستخدم. تمثل eTokens الأصول الإضافية ، بينما تمثل dTokens ديون المستخدمين.
يتم تصفية المراكز ذات الرافعة المالية عندما يتجاوز رصيد dToken للمستخدم رصيد eToken الخاص به ، ويتم تحفيز المصفين للقيام بذلك من خلال الخصم الذي يقدمه البروتوكول لضمان التشغيل السلس.
حسب أ بعد الوفاة من Omniscia ، أحد مدققي أويلر ، فإن القضية الأساسية هي أن وظيفة التبرع لا تتضمن "فحصًا صحيًا" لضمان بقاء المستخدم مضمونًا بشكل كافٍ بعد التبرع.
نتيجة لذلك ، تمكن المهاجم من إنشاء موقع تحت الماء وتصفية نفسه باستخدام عقد ضار آخر تم إنشاؤه لهذا الغرض.
شركة الأمن Peckshield مصور الهجوم باستخدام سوق Euler DAI ، والذي تم استغلاله مقابل 8.8 مليون دولار ، على سبيل المثال.
يشير معدل التحويل إلى خصم التصفية ، والذي تم تحديده بحد أقصى 25٪ في هذه الحالة بسبب الضمانات المنخفضة للغاية للحساب بعد التبرع.
كرر المهاجم نفس العملية لاستنزاف أسواق stETH و WBTC و USDC ، محققًا إجمالي 197 مليون دولار.
المحلل على السلسلة ZachXBT وأشار أن نفس العنوان قد هاجم سابقًا بروتوكول DeFI على BNB Smart Chain مقابل 346,000 ألف دولار واستخدم مزج الخصوصية Tornado Cash لغسل تلك الأموال.
قروض فلاش
القرض السريع هو ميزة DeFi تتيح للمستخدمين اقتراض مبالغ كبيرة من المال دون نشر أي ضمانات. ومع ذلك ، يجب سداد القرض في نفس كتلة Ethereum.
هجمات القروض السريعة ، للأسف ، شائعة جدًا في DeFi. في أكتوبر 2021 ، عانى سوق مالي آخر ، كريم فايننس ، من أ $130M استغلال القرض السريع.
استنزاف الجهات الخبيثة بـ3.2 مليار دولار من منصات DeFi العام الماضي من خلال مجموعة متنوعة من الهجمات.
تداعيات DeFi
تم دمج Euler على نطاق واسع مع نظام DeFi البيئي الأوسع نظرًا لمزيج من الاحترام الجيد وتقديم حوافز السيولة ، وقد أثر الاستغلال العديد من البروتوكولات التي إما أودعت الأموال في أويلر أو تعرضت لمخاطر غير مباشرة.
موازن الصرف اللامركزي محمد أن فرعه الفرعي للطوارئ قد أوقف مؤقتًا جميع مجمعات السيولة التي تحتوي على الدولار الأمريكي المعزز من أويلر (bbeUSD) ، ووضع bbeUSD في وضع الاسترداد.
يقول فريق Balancer إنه لا يوجد خطر إضافي للخسارة. وأضافت أن bbeUSD LPs سيكونون قادرين على الخروج من مراكزهم بمجرد الحصول على مزيد من الوضوح من فريق أويلر.
Angle Protocol ، مُصدر عملة agEUR المستقرة باليورو ، محمد أنها تعرضت لتصل قيمتها إلى 17.6 مليون دولار أمريكي من USDC وأصدرت ملف بعد الوفاة.
تم تدقيق العقد الذكي المعني من قبل شيرلوك ، والذي قام بتدقيقه من وزارة الصحة 4.5 مليون دولار من صندوق التأمين الخاص بها.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://thedefiant.io/euler-200m-exploit/
- :يكون
- 000
- 2021
- 2023
- 214
- a
- ماهرون
- حسابي
- الجهات الفاعلة
- وأضاف
- العنوان
- كاف
- الكل
- يسمح
- المبالغ
- المحلل
- و
- آخر
- هي
- AS
- ممتلكات
- At
- مهاجمة
- الهجمات
- دققنا
- المدققين
- الرصيد
- موازن
- أرصدة
- BE
- يجري
- أكبر
- حظر
- BNB
- سلسلة BNB الذكية
- الاقتراض
- أوسع
- علة
- by
- تسمى
- حقيبة
- النقد
- سلسلة
- chainalysis
- وضوح
- مطبوعات
- مضمونة
- مجموعة
- مشترك
- مجتمع
- عقد
- تحويل
- جوهر
- خلق
- خلق
- حاليا
- DAI
- الصدمة
- النظام البيئي DeFi
- تحدي استغلال
- منصات التحدي
- بروتوكول DEFI
- أودعت
- خصم الإخوة الإضافي
- يتبرعون
- استنزفت
- النظام الإيكولوجي
- إما
- حالة طوارئ
- تمكين
- تطبيق
- ضمان
- ethereum
- أمان الإيثيريوم
- EUL
- مثال
- يتجاوز
- تبادل
- خروج
- استغلال
- استغلال
- مكشوف
- تعرض
- جدا
- الميزات
- تمويل
- شركة
- Flash
- استغلال القرض السريع
- في حالة
- تبدأ من
- وظيفة
- صندوق
- أموال
- إضافي
- شراء مراجعات جوجل
- الحكم
- نصفي
- عقد
- لكن
- HTTPS
- in
- الحوافز
- تحفيز
- تتضمن
- التأمين
- المتكاملة
- قضية
- المصدر
- IT
- انها
- مختبرات
- كبير
- اسم العائلة
- العام الماضي
- القانون
- تطبيق القانون
- المقرض
- الإقراض
- بروتوكول الإقراض
- LIDO
- صفى
- سائل
- تصفية
- سيولة
- تجمعات السيولة
- قرض
- مقفل
- خسارة
- منخفض
- لبس
- رائد
- تمكن
- تجارة
- الأسواق
- أقصى
- خلاط
- موضة
- مال
- سوق المال
- المقبلة.
- تقريبا
- Notion
- تم الحصول عليها
- شهر اكتوبر
- of
- عرضت
- الوهب
- on
- ONE
- عملية
- إصلاح
- جزء
- بيك شيلد
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- حمامات
- ان يرتفع المركز
- مواقف
- سابقا
- السعر
- خصوصية
- عملية المعالجة
- بروتوكول
- البروتوكولات
- غرض
- وضع
- سؤال
- معدل
- استعادة
- استرجاع
- يشير
- صدر
- بقايا
- متكرر
- مثل
- حجز
- نتيجة
- المخاطرة
- نفسه
- يقول
- أمن
- طقم
- صغير
- سمارت
- سلسلة ذكية
- عقد الذكية
- So
- مصدر
- stablecoin
- المدرجات
- ستيث
- مسروق
- الأموال المسروقة
- يعاني
- فريق
- أن
- •
- من مشاركة
- أنفسهم
- عبر
- إلى
- رمز
- الرموز
- جدا
- إعصار
- تورنادو كاش
- الإجمالي
- تأمين القيمة الإجمالية
- مسار
- TVL
- أو تويتر
- أنواع
- Uk
- تحت الماء
- us
- USD
- USDC
- مستخدم
- المستخدمين
- قيمنا
- تشكيلة
- الضعف
- استيقظ
- WBTC
- ابحث عن
- التي
- في حين
- على نحو واسع
- سوف
- مع
- في غضون
- بدون
- عامل
- قيمة
- عام
- زاكسبت
- زفيرنت