Исправление выявленной уязвимости в DeFi-протоколе Euler Finance привело к возникновению другой ошибки. В марте ее использовал неизвестный для атаки на $200 млн, рассказал белый хакер под ником Kankodu.
Данные: X.
«Исправление бага, который я раскрыл, закончилось введением функции, ответственной за взлом», — написал эксперт.
По его словам, в июне 2022 года он сообщил разработчикам об «ошибке первого депозита». Лендинговый протокол дает возможность пользователям одалживать активы, получая взамен токены eToken по обменному курсу. Обнаруженная Kankodu уязвимость позволяла искусственно завысить котировки и вывести все монеты.
Команда Euler Finance выплатила ему награду в $50 000. В рейтинге белых хакеров на баунти-платформе Immunefi эксперт занимает 17 место с 28 платными отчетами и доходом в размере $688 840.
Для устранения уязвимости разработчики DeFi-проекта внесли изменения в протокол, чтобы все новые токены eToken инициализировались с общим запасом обеспечения плюс 1 млн wei. Это повторило подход Uniswap v2 и сделало атаку экономически нецелесообразной, отметил Kankodu.
Для существующих монет с резервами более 1 млн wei не было необходимости принимать какие-либо меры. Для другого случая разработчики внедрили функцию donateToReserves, призванную увеличить обеспечение выше 1 млн wei. Именно ее в сочетании с механизмом ликвидации Euler Finance злоумышленник использовал для атаки на протокол, заявил эксперт.
«Это служит дорогостоящим уроком, поскольку даже небольшие исправления ошибок имеют тот же уровень важности, что и крупные обновления вроде новой версии протокола», — подчеркнул Kankodu.
Напомним, взломщик Euler Finance вернул проекту почти всю украденную сумму оставив себе около $19 млн в качестве оговоренного вознаграждения.