Euler Finance Hack Postmortem သည် 8 လကြာအားနည်းချက်ကိုပြသသည်။

Euler Finance ၏ flash loan exploit ၏နောက်ထပ်စစ်ဆေးမှုတစ်ခုမှ exploit ၏အရင်းခံအားနည်းချက်သည် 8 လကြာသည်အထိကွင်းဆက်တွင်ဆက်လက်တည်ရှိနေကြောင်းဖော်ပြခဲ့သည်။ 

အားနည်းချက်ကြောင့် Euler Finance သည် ယခုသီတင်းပတ်အစောပိုင်းတွင် ဒေါ်လာ သန်း ၂၀၀ ဆုံးရှုံးခဲ့သည်။ 

ရှစ်လအရွယ် အားနည်းချက်တစ်ခု 

Euler Finance ၏ စာရင်းစစ်လုပ်ဖော်ကိုင်ဖက် Omniscia သည် ရက်သတ္တပတ်အစောပိုင်းတွင် ဟက်ကာများ အသုံးချခံရသည့် အားနည်းချက်ကို ခွဲခြမ်းစိတ်ဖြာသည့် အသေးစိတ် စစ်ဆေးမှုအစီရင်ခံစာကို ထုတ်ပြန်ခဲ့သည်။ ရင်ခွဲစစ်ဆေးခြင်းအစီရင်ခံစာအရ၊ သင့်လျော်သောကျန်းမာရေးစစ်ဆေးမှုမရှိဘဲ အလှူငွေများလုပ်ဆောင်ရန်ခွင့်ပြုထားသည့် ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသောဘဏ္ဍာရေးဆိုင်ရာပရိုတိုကော၏ မှားယွင်းသောလှူဒါန်းမှုယန္တရားကြောင့် အားနည်းချက်ဖြစ်လာသည်။ ကုဒ်ကို Euler Finance ဂေဟစနစ်တွင် အပြောင်းအလဲများစွာကို မိတ်ဆက်ပေးသည့် ပရိုတိုကော eIP-14 တွင် မိတ်ဆက်ခဲ့သည်။ 

Euler Finance သည် အသုံးပြုသူများအား တူညီသော ငွေပေးငွေယူတွင် ပိုင်ဆိုင်မှုများကို တူးဖော်ခြင်းနှင့် ငွေသွင်းခြင်းများ ပြုလုပ်ခြင်းဖြင့် အတုအယောင် leverage ဖန်တီးနိုင်စေပါသည်။ ဤယန္တရားသည် သုံးစွဲသူများအား Euler Finance ကိုယ်တိုင်ကိုင်ဆောင်ထားသော အပေါင်ပစ္စည်းထက် တိုကင်များကို ပိုမိုထုတ်ယူနိုင်စေခဲ့သည်။ ယန္တရားအသစ်သည် အသုံးပြုသူများအား ၎င်းတို့၏ငွေလက်ကျန်ကို လွှဲပြောင်းပေးသည့် တိုကင်၏ အရန်လက်ကျန်သို့ လှူဒါန်းခွင့်ပြုထားသည်။ သို့သော်လည်း လှူဒါန်းမှုပြုလုပ်သည့် အကောင့်တွင် ကျန်းမာရေးစစ်ဆေးမှု အမျိုးအစား တစ်စုံတစ်ရာ လုပ်ဆောင်ရန် ပျက်ကွက်ခဲ့သည်။ 

Vulnerability ကို ဘယ်လိုအသုံးချခဲ့လဲ။ 

လှူဒါန်းမှုသည် အသုံးပြုသူ၏ကြွေးမြီ (DToken) ကို မပြောင်းလဲစေခဲ့ပေ။ သို့သော် ၎င်းတို့၏ ညီမျှမှု (Etoken) လက်ကျန် ကျဆင်းသွားသည်ကို တွေ့ရမည်ဖြစ်သည်။ ဤအချိန်တွင်၊ အသုံးပြုသူ၏အကောင့်ကိုဖျက်သိမ်းခြင်းသည် ကျန်ရှိနေသော Dtokens အစိတ်အပိုင်းတစ်ခုဆီသို့ ဦးတည်စေပြီး မကောင်းတဲ့ကြွေးမြီများဖန်တီးခြင်းဆီသို့ ဦးတည်သွားစေပါသည်။ ဤချို့ယွင်းချက်သည် တိုက်ခိုက်သူအား လွန်ကဲသော အနေအထားကို ဖန်တီးနိုင်စေပြီး ၎င်းအား "ရေအောက်သို့ ရောက်သွားစေခြင်း" အတုလုပ်ခြင်းဖြင့် တူညီသောပိတ်ဆို့ခြင်းတွင် ၎င်းတို့ကိုယ်တိုင် ဖျက်သိမ်းစေသည်။

ဟက်ကာသည် ၎င်းတို့ကိုယ်သူတို့ ဖျက်သိမ်းသည့်အခါ ရာခိုင်နှုန်းအခြေခံလျှော့စျေးကို အသုံးပြုပြီး ဖျက်သိမ်းသူသည် EToken ယူနစ်များ၏ သိသာထင်ရှားသောအစိတ်အပိုင်းကို လျှော့စျေးဖြင့် ရရှိပြီး ၎င်းတို့ရရှိထားသော အပေါင်ပစ္စည်းနှင့် ကိုက်ညီမည့် အကြွေးကို “ရေထက်” ဖြစ်မည်ဟု အာမခံပါသည်။ ၎င်းသည် ကြွေးမြီဆိုးများ (DTokens) ချိုးဖောက်သူနှင့် ၎င်းတို့၏ကြွေးမြီများကို အပေါင်ခံပစ္စည်းပိုပေးထားသော ငွေစာရင်းရှင်းတမ်းကို ဖြစ်ပေါ်စေမည်ဖြစ်သည်။ 

Omniscia သည် အားနည်းချက်၏ဗဟိုချက်တွင်ရှိသောအင်္ဂါရပ်သည် ကုမ္ပဏီမှလုပ်ဆောင်သောစာရင်းစစ်များ၏နယ်ပယ်တွင်မဟုတ်ကြောင်းပြောကြားခဲ့သည်။ ခွဲခြမ်းစိတ်ဖြာမှုအရ၊ ထို့နောက် အတည်ပြုခဲ့သည့် ကုဒ်ကို ပြန်လည်သုံးသပ်ရန်အတွက် ပြင်ပမှ စာရင်းစစ်သည် တာဝန်ရှိပါသည်။ donateToReserves လုပ်ဆောင်ချက်ကို Sherlock အဖွဲ့မှ 2022 ခုနှစ် ဇူလိုင်လတွင် စစ်ဆေးခဲ့သည်။ Euler နှင့် Sherlock တို့သည် အမြတ်ထုတ်မှုဖြစ်ပွားချိန်တွင် ယခင် Sherlock နှင့် တက်ကြွသောလွှမ်းခြုံမှုမူဝါဒရှိကြောင်းကိုလည်း အတည်ပြုခဲ့သည်။ 

Euler Finance သည် လုံခြုံရေးအဖွဲ့များနှင့် အလုပ်လုပ်သည်။ 

ခေါင်းပုံဖြတ်ခံရခြင်း၊ Euler ဘဏ္ဍာရေး နောက်ထပ်စစ်ဆေးမှုများလုပ်ဆောင်ရန် ပရိုတိုကောသည် အခြားလုံခြုံရေးအဖွဲ့များနှင့် ပူးပေါင်းလုပ်ဆောင်နေကြောင်း ပြောကြားခဲ့သည်။ ထို့အပြင် ခိုးယူထားသော ရန်ပုံငွေများကို ပြန်လည်ရရှိရန် ကြိုးပမ်းရာတွင် တရားဥပဒေ စိုးမိုးရေး အရာရှိများနှင့် အေဂျင်စီများကို ဆက်သွယ်ခဲ့ကြောင်းလည်း ၎င်းက ဆိုသည်။ 

"ကျွန်ုပ်တို့သည် Euler ပရိုတိုကော အသုံးပြုသူများအပေါ် ဤတိုက်ခိုက်မှု၏ သက်ရောက်မှုကြောင့် ကျွန်ုပ်တို့ စိတ်ပျက်လျက်ရှိပြီး ၎င်းကို ကျွန်ုပ်တို့ အတတ်နိုင်ဆုံး ဖြေရှင်းရန် ကျွန်ုပ်တို့၏ လုံခြုံရေးလုပ်ဖော်ကိုင်ဖက်များ၊ တရားဥပဒေစိုးမိုးရေးနှင့် ပိုမိုကျယ်ပြန့်သော အသိုက်အဝန်းနှင့် ဆက်လက်လုပ်ဆောင်သွားပါမည်။ မင်းရဲ့အားပေးမှုနဲ့ အားပေးမှုအတွက် ကျေးဇူးအများကြီးတင်ပါတယ်။”

မသက်ဆိုင်ကြောင်းရှင်းလင်းချက်: ဤဆောင်းပါးကိုသတင်းအချက်အလက်ရည်ရွယ်ချက်များအတွက်သာထောက်ပံ့ပေးလျက်ရှိသည်။ ၎င်းကိုတရားဝင်၊ အခွန်၊ ရင်းနှီးမြှုပ်နှံမှု၊ ဘဏ္financialာရေးသို့မဟုတ်အခြားအကြံဥာဏ်အဖြစ်အသုံးပြုရန်ရည်ရွယ်ခြင်းမဟုတ်ပါ။