EULER FINANCE - REKT
Tam da piyasalarda işler yoluna girmişti ki…
Bir tarafta bankacılık çöküşleri ve stablecoin krizi yaşanırken, diğer bir tarafta DeFi'ın en köklü borç verme protokollerinden biri olan Euler Finance yaklaşık 200 milyon dolarlık bir darbe aldı.
USDC, peg’ine doğru yavaş yavaş gelirken, Peckshield tehlike alarmını çaldı.
Euler Labs, “güvenlik uzmanları ve kanun görevlileriyle çalıştıklarını” belirterek, istismarı hemen doğruladı.
Durum ilerledikçe kayıplar artmaya başladı. ETH, WBTC, USDC ve DAI olarak toplam 197 milyon dolar alındı ve Euler liderlik tablosunda 6. sıraya yerleşti. Euler'in TVL'i 264 milyon dolardan sadece 10 milyon dolara düştü.
Tüm beyaz şapka umutları da çabucak boşa çıktı; Olayla ilgili bir adres daha önce BSC tabanlı EPMAX'i istismar etmek için kullanılmış ve ardından elde edilen gelir Tornado Cash'e yatırılmıştı.
Her şey nasıl da bu kadar ters gidebilir?
Kaynak: _FrankResearcher, Omniscia,
Euler'de borç verme, eToken'lar (teminat) ve dToken'lar (borç) üzerinden yönetilir ve likidasyonlar, bir kullanıcının eToken'lardan daha fazla dToken'a sahip olması durumunda tetiklenir.
İstismar edilen güvenlik açığı, geçen yıl EIP14 üzerinden Euler'e dahil edilen ve az kullanılan donateToReserves fonksiyonunu içeriyordu. donateToReserves, kullanıcıların eToken'ları doğrudan Euler rezervlerine göndermesine izin verir, ancak kullanıcının pozisyonunun sağlığı üzerinde bir kontrol içermez.
Hacker, biri donateToReserves üzerinden batık krediye yol açacak, diğeri likidatör olarak hareket edecek iki kontrat kullanarak bundan yararlandı.
Tek kontratta büyük, alış değeri pazar değerinden fazla olan bir pozisyon oluşturmak için flash-loan olarak kullanılmış fonları ve Euler'in kaldıraç sistemini kullanan likidatör kontratı, şişirilmiş eToken teminatını indirimli olarak alabilir ve dayanak varlıklara çekebilir.
Euler'in altı denetçisinden biri olan Omniscia, konuyu özetleyen ayrıntılı bir otopsi yayınladı:
Saldırı, nihayetinde yanlış bir bağış mekanizmasından kaynaklandı ve bağışçının borç sağlığını hesaba katmadı, bu da onların asla likide olmayacak, desteklenmemiş bir DToken borcu oluşturmasına izin verdi.
Saldırganın adresi (fonların bulunduğu yer): 0xb66cd966670d962c227b3eaba30a872dbfb995db
Saldırı işlemi (DAI): 0xc310a0af…
SlowMist, ilgili adreslerin ve işlemlerin bir özetini sağladı: toplam kayıplar ETH türevlerinde 86k (134,6 Milyon Dolar), 849 WBTC (18,6 Milyon Dolar), 34 milyon USDC, 8,9 Milyon DAI'den oluşmaktadır.
Denetçiler ve akıllı kontrat sigorta protokolü Sherlock, geçen yıl EIP-14 incelemelerinde güvenlik açığını gözden kaçırma sorumluluğunu üstlendi ve Euler'e 4,5 milyon dolar tazminat ödeyecek.
Euler saldırganın adresine tx input data aracılığıyla bir mesaj ulaştırdı:
Bu sabah Euler platformuna yapılan saldırıdan sizin sorumlu olduğunuzu anlıyoruz. Sonraki olası adımlar hakkında bizimle iletişime açık olup olmayacağınızı görmek için yazıyoruz.
Ancak bazı fonların test amaçlı geçiş adresi üzerinden Tornado’ya gönderilmesi fonların iade edilebilme olasılığının pek de mümkün olmayacağını gösteriyor…
Euler'in yüksek profilli ve istikrarlı itibarı olduğundan, diğer birçok DeFi kuruluşunun da protokole bağlı fonları vardı.
Pek çok başka projenin Euler ile entegre olmayı tercih etmiş olması, bu istismarın topluluk için ne kadar şok edici olduğunu ortaya koyuyor. Birçok kişi, Euler ekibine destek için yardım eli uzatmış durumda.
Euler'in kendisine ek olarak (tokenı EUL %50'nin üzerinde düştü), olayın yansımaları aşağıdaki projelerde de görüldü:
Angle Protocol (17 milyon doların üzerinde agEUR teminatı, ANGLE’ın %50'nin üzerinde düşüşü)
Balancer (11,9 milyon dolarlık bbeUSD)
Temple DAO (5 milyon dolar, TEMPLE'da 30%`luk düşüş)
Idle DAO (yaklaşık 5 milyon dolar)
Swissborg (2,6 milyon dolarlık ETH ve 1,7 milyon dolarlık USDT)
Yield Protocol (1,5 milyon dolar)
Yearn (dolaylı olarak maruz kalınan 1,38 milyon dolar, kayıplar hazine tarafından karşılanacak)
Inverse Finance (800 bin dolar)
Ve diğerleri
DeFi'ın birleştirilebilirliği, geleneksel finansın asla başaramayacağı bir şekilde ilginç, otomatik ve kazançlı para legoları oluşturmamıza olanak tanır.
Ancak işler ters gittiğinde, zincirleme reaksiyonu durdurmak olanaksız hale gelir.
Son birkaç gün, giderek daha da hassas hale gelen bu küresel ekonomide dirençli bir alternatifin gerekliliğini bir kez daha anlamış olduk.
Böyle felaketler, DeFi'ın geleceği için sağlam bir mimari yapının oluşturulması ve daha güçlü temellerin atılması için bizleri kamçılıyor da,
bu arada… şurası tamamen güvenli diyebileceğimiz bir yer artık var mı?
REKT, anonim yazarlar için halka açık bir platform olarak hizmet eder, REKT'te bulunan görüşler veya içerik için hiçbir sorumluluk kabul etmiyoruz.
bağış yap (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
sorumluluk reddi:
REKT, Web Sitemizde veya hizmetlerimizle bağlantılı olarak web sitemizin ANON yazarı veya REKT tarafından gönderilen, yayınlanan veya neden olunan hiçbir içerikten hiçbir şekilde sorumlu veya yükümlü değildir. Anon yazarın davranışları ve gönderileri için kurallar sağlamamıza rağmen, onun web sitemizde veya hizmetlerimizde yayınladığı, ilettiği veya paylaştığı şeylerden sorumlu değiliz veya web sitemizde ve hizmetlerimizde karşılaşabileceğiniz herhangi bir saldırgan, uygunsuz, müstehcen, yasa dışı veya başka şekilde sakıncalı olan içerikten sorumlu değiliz. REKT, Web Sitemizin veya Hizmetlerimizin herhangi bir kullanıcısının çevrimiçi veya çevrimdışı davranışlarından sorumlu değildir.
bunu da beğenebilirsin...
LEVEL FINANCE - REKT
Level Finance level atladı. Dün BSC tabanlı perp platformundan 1,1 milyon dolarlık üye getirme ödülü çalındı. ilk olarak bir hafta önce saldırı girişiminde bulunuldu, ancak görünüşe göre kimse fark etmedi. Erken bir uyarı acaba Level'i kurtarabilir miydi?
MERLIN DEX - REKT
Merlin klasik DeFi sihir numarasını yapınca 1,8 milyon dolar birdenbire puf diye kayboldu. zksync-native DEX, Certik ile denetimini yeni tamamlamıştı. Bu kadar kolay rug’lanabilen bir protokole nasıl yeşil ışık yakılabilir? Yoksa kullanıcılar da mı suçlu?
Hundred Finance - REKT 2
15 Nisan'da Hundred Finance, Optimism'de 7.4 milyon dolarlık bir istismara maruz kaldı. Bu, Agave DAO ve Meter ile aynı sahneyi paylaştıktan sonra protokolün ilk solo makalesidir. Hundred'ın liderlik tablosu toplamı şu anda 16,9 milyon dolara ulaştı... peki bu seferkinin sebebi neydi?