Финансовый инцидент Эйлера | Отчет Hack3d за первый квартал | Отчет об анализе CertiK скачать в хорошем качестве

Финансовый инцидент Эйлера | Отчет Hack3d за первый квартал | Отчет об анализе CertiK

#crypto #cryptocurrency #blockchain #defi #analysis #web3 #certik #eulerfinance #exploit Отчет Hack3d за первый квартал | Эйлер Финанс | Отчет CertiK Analysis — как это произошло? Давайте взглянем. Злоумышленники украли более 320 миллионов долларов из протоколов Web3 в ходе 207 отдельных инцидентов в первом квартале 2023 года. Это составляет чуть более трети от 950 миллионов долларов, потерянных в четвертом квартале, и четверть от 1,3 миллиарда долларов, потерянных в первом квартале 2022 года. Только один инцидент — эксплойт Euler Finance на сумму 197 миллионов долларов — составил более 60% всей стоимости, потерянной в первом квартале. Это подчеркивает асимметричные вознаграждения, предлагаемые за успешные эксплойты крупных протоколов. Вне сети в первом квартале произошли важные события для криптоиндустрии. От закрытия Silvergate Bank, одной из самых прочных связей отрасли с традиционной финансовой индустрией, до отмены привязки USDC на выходных во время беспорядков в Silicon Valley Bank. Это был насыщенный событиями квартал, но для криптографии в этом нет ничего нового. Инцидент с Euler Finance стал самым значительным в первом квартале. Euler Finance — это «протокол на Ethereum, не связанный с хранением, который позволяет пользователям одалживать и брать взаймы практически любые криптоактивы». 13 марта злоумышленник использовал экспресс-кредиты для взлома нескольких пулов Euler Finance. Они ушли с общей прибылью около 197 миллионов долларов. Один только этот инцидент более чем вдвое превышает общую сумму потерь, связанных со всеми другими инцидентами безопасности в Web3 в первом квартале 2023 года. Уязвимость Euler заключалась в функции donateToReserves в контрактах Euler Pool. В этой функции отсутствует надлежащая проверка статуса обеспечения ликвидности, в результате чего пользователь может добровольно отказаться от части заемного депозита, чтобы сделать пул неплатежеспособным. Используя 20 миллионов DAI, полученных в виде мгновенного кредита от Aave, злоумышленник создал позицию с высоким кредитным плечом с помощью функции «чеканки» протокола кредитования Эйлера. Функция Mint позволяет пользователю создавать цикл рекурсивного кредитования, чеканить токены акций и долговых обязательств, депонировать токены акций, а затем брать под них займы. Злоумышленник вложил 20 миллионов DAI и использовал функцию монетного двора, чтобы увеличить размер своей позиции в десять раз, до 200 миллионов. Затем они погасили 10 миллионов, что позволило им снова использовать еще 200 миллионов токенов eDAI. Пожертвовав протоколу 100 миллионов eDAI с помощью уязвимой функции donateToReserves, позиция злоумышленника оказалась на грани ликвидации. Затем они ликвидировали свою позицию и получили бонус в размере 20% в соответствии с работой платформы Эйлера.