Исправление обнаруженной уязвимости в DeFi-протоколе Euler Finance привело к появлению новой ошибки. В марте неизвестный хакер, известный под никнеймом Kankodu, использовал ее для атаки на сумму в $200 миллионов.
Белый хакер сообщил, что после исправления уязвимости, которую он обнаружил, была введена функция, ставшая причиной эксплойта. Он описал эту функцию как "баг первого депозита". Этот DeFi-протокол позволяет пользователям одалживать активы и получать взамен токены eToken по текущему обменному курсу. Уязвимость, обнаруженная Kankodu, позволила манипулировать курсами и выводить все монеты.
Разработчики Euler Finance наградили белого хакера суммой в $50 000 за выявление уязвимости. На платформе Immunefi, занимающейся наградами для белых хакеров, он занимает 17 место, имея 28 платных отчетов и заработок в размере $688 840.
Для устранения уязвимости разработчики внесли изменения в протокол, чтобы новые токены eToken инициализировались с общим запасом обеспечения плюс 1 миллион wei. Это изменение повторило метод, использованный в Uniswap v2, и сделало атаку экономически нецелесообразной.
Существующие монеты с обеспечением более 1 миллиона wei не требовали дополнительных мер. Для остальных разработчики внедрили функцию donateToReserves, которая увеличивает обеспечение свыше 1 миллиона wei. Именно этот механизм совместно с ликвидацией был использован злоумышленником для атаки на протокол.
Kankodu подчеркнул важность этого инцидента, отметив, что даже мелкие исправления ошибок могут иметь критическое значение, как и большие обновления протокола.
Хакер, атаковавший Euler Finance, вернул почти всю украденную сумму проекту, оставив себе лишь около $19 миллионов в качестве награды.
|