Білий хакер назвав причину зламу Euler Finance на $200 млн — ForkLog UA
Виправлення виявленої уразливості в DeFi-протоколі Euler Finance призвело до виникнення іншої помилки. У березні її використав невідомий для атаки на $200 млн, розповів білий хакер під ніком Kankodu.
In July '22, I reported the 'first deposit bug' in Euler, a permissionless lending protocol. Lenders deposit `x` underlying tokens and get `x / exchange rate` ETokens. The exchange rate is calculated as the current underlying balance divided by the total EToken supply.
— Kankodu (@kankodu) September 5, 2023
«Виправлення помилки, про яку я повідомив, в кінцевому підсумку призвело до впровадження функції, відповідальної за злом», — написав експерт.
За його словами, у червні 2022 року він повідомив розробників протоколу про «помилку першого депозиту». Лендинговий протокол дає можливість користувачам позичати активи, отримуючи натомість токени eToken за обмінним курсом. Виявлена Kankodu вразливість давала змогу штучно завищити котирування і вивести всі монети.
Команда Euler Finance виплатила йому нагороду в $50 000. У рейтингу білих хакерів на баунті-платформі Immunefi експерт посідає 17 місце з 28 платними звітами та доходом у розмірі $688 840.
Для усунення вразливості розробники DeFi-проєкту внесли зміни в протокол, щоб усі нові токени eToken ініціалізувалися із загальним запасом забезпечення плюс 1 млн wei. Це повторило підхід Uniswap v2 і зробило атаку економічно недоцільною, зазначив Kankodu.
Для наявних монет із резервами понад 1 млн wei не було необхідності вживати будь-яких заходів. Для іншого випадку розробники впровадили функцію donateToReserves, покликану збільшити забезпечення вище 1 млн wei. Саме її в поєднанні з механізмом ліквідації Euler Finance зловмисник використовував для атаки на протокол, заявив експерт.
«Це послужить дорогим уроком, оскільки навіть невеликі виправлення помилок мають той самий рівень важливості, що й великі оновлення на кшталт нової версії протоколу», – наголосив Kankodu.
Нагадаємо, зломник Euler Finance повернув проєкту майже всю вкрадену суму, залишивши собі близько $19 млн як обумовлену винагороду.