התקפת הלוואת פלאש מופעלת בקוד באג
אוילר, פרוטוקול הלוואות שהחזיק למעלה מ-400 מיליון דולר של נכסי משתמשים נכון לאתמול, נוצל במשך כמעט $ 200M במה שעשוי להיות ניצול ה-DeFi הגדול ביותר של 2023.
התוקף הצליח לגנוב כמעט 136 מיליון דולר מה-stETH של Lido Finance, 34 מיליון דולר של USDC, 18.5 מיליון דולר של WBTC ו-8.8 מיליון דולר ב-DAI.
אסימון הממשל של ה-EUL של הפרוטוקול איבד יותר ממחצית מערכו בעקבות המתקפה.
לצוות אוילר יש מאושר שהיא עובדת עם TRM Labs, Chainalysis וקהילת האבטחה הרחבה יותר של Ethereum כדי לעקוב ולנסות לשחזר את הכספים הגנובים. גם רשויות אכיפת החוק בבריטניה ובארה"ב קיבלו הודעה.
הערך הכולל של אוילר נעול (TVL) עומד כיום על קצת יותר מ-10 מיליון דולר.
פונקציה פגיעה
הניצול נבע מפגיעות בפונקציית חוזה חכם שנקראת 'donateToReserve' שהתווסף כחלק משיפוץ גדול לפני שמונה חודשים ומאפשר למשתמשים לתרום יתרות קטנות לעתודה של הפרוטוקול.
אוילר משתמש בשני סוגים של אסימונים כדי לעקוב אחר יתרות המשתמש. eTokens מייצגים נכסי בטחונות, בעוד dTokens מייצגים חובות של משתמשים.
פוזיציות ממונפות מחוסלות כאשר יתרת ה-dToken של משתמש עולה על יתרת ה-eToken שלו, ומפרקים מקבלים תמריצים לעשות זאת באמצעות הנחה שמציע הפרוטוקול כדי להבטיח פעולה חלקה.
לפי א שלאחר המוות מאת Omniscia, אחד המבקרים של אוילר, הבעיה המרכזית היא שפונקציית התרומה אינה כוללת 'בדיקת בריאות' כדי להבטיח שהמשתמש נשאר בטוח כראוי לאחר התרומה.
כתוצאה מכך, התוקף הצליח ליצור עמדה מתחת למים ולחסל את עצמו באמצעות חוזה זדוני אחר שנוצר לשם כך.
חברת האבטחה Peckshield מאויר המתקפה באמצעות שוק ה-DAI של אוילר, שנוצל תמורת 8.8 מיליון דולר, כדוגמה.
שיעור ההמרה מתייחס להנחה לפירוק, שנקבעה במקרה זה למקסימום של 25% בשל הביטחונות הנמוכים ביותר של החשבון לאחר התרומה.
התוקף חזר על אותו תהליך כדי לרוקן את שווקי stETH, WBTC ו-USDC, והכניס סך של 197 מיליון דולר.
אנליסט ברשת ZachXBT ציין שאותה כתובת תקפה בעבר פרוטוקול DeFI ב-BNB Smart Chain תמורת 346,000 דולר והשתמשה במיקסר הפרטיות Tornado Cash כדי להלבין את הכספים הללו.
הלוואות פלאש
הלוואת פלאש היא תכונת DeFi המאפשרת למשתמשים ללוות כמויות גדולות של כסף מבלי להציב בטחונות. עם זאת, יש להחזיר את ההלוואה בתוך אותו בלוק Ethereum.
התקפות הלוואות פלאש הן, למרבה הצער, נפוצות מדי ב-DeFi. באוקטובר 2021, שוק כספים אחר, Cream Finance, סבל מא $ 130M ניצול הלוואות פלאש.
שחקנים זדוניים התרוקנו 3.2 $ מיליארד מפלטפורמות DeFi בשנה שעברה דרך מגוון התקפות.
DeFi Fallout
אוילר משולב באופן נרחב עם מערכת האקולוגית הרחבה יותר של DeFi בשל שילוב של היותו נחשב היטב והצעת תמריצי נזילות, והניצול השפיע פרוטוקולים רבים או שהפקיד כספים באולר או שהייתה לו חשיפה עקיפה.
מאזן חליפין מבוזר אמר שה-subDAO שלה לשעת חירום השהה את כל מאגרי הנזילות המכילים דולר מוגבר של Euler (bbeUSD), והכניס את bbeUSD למצב התאוששות.
צוות Balancer אומר שאין סיכון נוסף להפסד. הוא הוסיף כי LPs של bbeUSD יוכלו לצאת מהעמדות שלהם ברגע שתתקבל בהירות נוספת מצוות אוילר.
Angle Protocol, המנפיק של מטבע ה-agEUR stablecoin הצמוד לאירו, אמר שהיא נחשפה בשווי של 17.6 מיליון דולר של USDC ופרסמה שלאחר המוות.
החוזה החכם המדובר נבדק על ידי שרלוק, אשר עשה זאת מאושר תשלום של 4.5 מיליון דולר מקרן הביטוח שלה.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://thedefiant.io/euler-200m-exploit/
- :הוא
- 000
- 2021
- 2023
- 214
- a
- יכול
- חֶשְׁבּוֹן
- שחקנים
- הוסיף
- כתובת
- כראוי
- תעשיות
- מאפשר
- כמויות
- מנתח
- ו
- אחר
- ARE
- AS
- נכסים
- At
- לתקוף
- המתקפות
- מבוקר
- רואי חשבון
- איזון
- איזון
- יתרות
- BE
- להיות
- הגדול ביותר
- לחסום
- bnb
- שרשרת חכמה של BNB
- לִלווֹת
- רחב
- חרק
- by
- נקרא
- מקרה
- מזומנים
- שרשרת
- שרשרת
- בהירות
- עקיף
- מבוטחים
- שילוב
- Common
- קהילה
- חוזה
- המרה
- ליבה
- לִיצוֹר
- נוצר
- כיום
- DAI
- DeFi
- מערכת אקולוגית DeFi
- דפי לנצל
- פלטפורמות דיפ
- פרוטוקול DEFI
- שהופקדו
- הנחה
- לתרום
- סחוט
- המערכת האקולוגית
- או
- חירום
- מופעל
- אַכִיפָה
- לְהַבטִיחַ
- ethereum
- אבטחת אתרים
- EUL
- דוגמה
- עולה
- חליפין
- יציאה
- לנצל
- ומנוצל
- חשוף
- חשיפה
- מאוד
- מאפיין
- לממן
- פירמה
- פלאש
- לנצל הלוואת פלאש
- בעד
- החל מ-
- פונקציה
- קרן
- כספים
- נוסף
- ממשל
- חצי
- הוחזק
- אולם
- HTTPS
- in
- תמריצים
- תמריץ
- לכלול
- ביטוח
- משולב
- סוגיה
- מנפיק
- IT
- שֶׁלָה
- מעבדות
- גָדוֹל
- אחרון
- שנה שעברה
- חוק
- אכיפת החוק
- מַשׁאִיל
- הַשׁאָלָה
- פרוטוקול ההלוואות
- LIDO
- לחסל
- מְחוּסָל
- חיסול
- נְזִילוּת
- בריכות נזילות
- להלוות
- נעול
- את
- נמוך
- תקליטים
- גדול
- הצליח
- שוק
- שוקי
- מקסימום
- מיקסר
- מצב
- כסף
- שוק הכסף
- חודשים
- כמעט
- רעיון
- מושג
- אוֹקְטוֹבֶּר
- of
- מוצע
- הצעה
- on
- ONE
- מבצע
- לְשַׁפֵּץ
- חלק
- שדה פיקסל
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- ברכות
- עמדה
- עמדות
- קוֹדֶם
- מחיר
- פְּרָטִיוּת
- תהליך
- פרוטוקול
- פרוטוקולים
- מטרה
- גם
- שאלה
- ציון
- להחלים
- התאוששות
- מתייחס
- שוחרר
- שְׂרִידִים
- חזר
- לייצג
- עתודה
- תוצאה
- הסיכון
- אותו
- אומר
- אבטחה
- סט
- קטן
- חכם
- שרשרת חכמה
- חוזה חכם
- So
- מָקוֹר
- stablecoin
- עומד
- STETH
- גָנוּב
- כספים גנובים
- סובל
- נבחרת
- זֶה
- השמיים
- שֶׁלָהֶם
- עצמם
- דרך
- ל
- אסימון
- מטבעות
- גַם
- טורנדו
- טורנדו מזומן
- סה"כ
- ערך כולל נעול
- לעקוב
- TVL
- סוגים
- Uk
- מתחת למים
- us
- ש״ח
- דולר ארה"ב
- משתמש
- משתמשים
- ערך
- מגוון
- פגיעות
- שרות
- wBTC
- מה
- אשר
- בזמן
- באופן נרחב
- יצטרך
- עם
- בתוך
- לְלֹא
- עובד
- ראוי
- שנה
- Zachxbt
- זפירנט