هک مالی اویلر، حمله 195 میلیون دلاری فلش وام!

Euler Finance یک پلتفرم مالی غیرمتمرکز، هدف یک حمله وام سریع یا همان Flash Loan Attack قرار گرفت که منجر به سرقت بیش از 195 میلیون دلار از استیبل کوین های غیرمتمرکز و توکن های ERC-20  شد. این حمله که به مهاجم اجازه می داد از یک آسیب پذیری در قرارداد هوشمند این پلتفرم سوء استفاده کند، منجر به زیان های قابل توجهی برای Euler Finance و کاربران آن شد. این حادثه به عنوان یادآوری جدی از خطرات مرتبط با امور مالی غیرمتمرکز حوزه ی دیفای و نیاز به ایمن سازی این پلتفرم ها است.

جزئیات هک مالی اویلر

در 13 مارس، پروتکل وام دهی غیرمتمرکز مبتنی بر اتریوم Euler Finance مورد حمله وام فوری قرار گرفت که منجر به سرقت میلیون‌ها دلار دای (DAI)، USD Coin (USDC)، (StETH) و WBTC شد. بر اساس داده‌های زنجیره‌ای، مهاجم چندین تراکنش را انجام داد و توانست نزدیک به 196 میلیون دلار سرقت کند که این بزرگترین هک سال 2023 تاکنون است!
 تفکیک وجوه دزدیده شده به شرح زیر است: 

 
Euler Finance هنوز بیانیه‌ای رسمی در مورد این حمله منتشر نکرده است!

با توجه به شرکت تحلیل ارزهای دیجیتال Meta Seluth، به نظر می رسد حمله اخیر به Euler Finance مربوط به یک حمله کاهش تورم است که یک ماه قبل رخ داده است. گزارش شده است که مهاجم از یک پل چند زنجیره ای برای انتقال وجوه دزدیده شده از زنجیره هوشمند بایننس BNB (BSC) به اتریوم قبل از اجرای حمله استفاده کرده است. ZachXBT، یکی دیگر از محققین برجسته زنجیره ای، همچنین به شباهت بین حرکات وجوه در حمله Euler Finance و سوء استفاده قبلی از یک پروتکل مبتنی بر BSC اشاره کرد. در آن حمله قبلی، وجوه متعاقباً به میکسر رمزنگاری Tornado Cash واریز شد. این مشاهدات نشان می‌دهد که مهاجمان ممکن است از تاکتیک‌های مشابهی در پروتکل‌ها و زنجیره‌های مختلف استفاده کنند که نیاز به اقدامات امنیتی قوی در سراسر اکوسیستم DeFi را برجسته می‌کند.

در حال حاضر، وجوه دزدیده شده از حمله Euler Finance در سه آدرس هکرها نگهداری می شود:

0xebc29199c817dc47ba12e3f86102564d640cbf99 (Contract) - 8,877,507.34 DAI
0xb2698c2d99ad2c302a95a8db26b08d17a77cedd4 - 8,080.97 ETH
0xb66cd966670d962c227b3eaba30a872dbfb995db - 88,752.69 ETH & 34,186,225.91 DAI

 Euler Finance این حمله را پذیرفته و اعلام کرده است که در حال حاضر با متخصصان امنیتی و مجریان قانون برای رسیدگی به این مشکل کار می کنند. این پاسخ گویای وخامت وضعیت و نیاز به اقدام سریع برای کاهش هرگونه آسیب احتمالی ناشی از حمله است.

تجزیه و تحلیل دقیق حمله Euler Finance که توسط شرکت امنیتی بلاک چین Slowmist انجام شد، نشان می‌دهد که مهاجم از وام‌های فلش برای سپرده‌گذاری وجوه استفاده کرده و دو بار از آنها برای شروع انحلال استفاده کرده است. مهاجم سپس وجوه را به آدرس رزرو شده اهدا کرد و برای جمع‌آوری دارایی‌های باقی‌مانده اقدام به انحلال خود کرد. به نظر می‌رسد دو عامل در موفقیت این اکسپلویت نقش داشته است: وجوه بدون بررسی نقدینگی به آدرس رزرو شده اهدا شد، باعث انحلال نرم شد، و منطق انحلال نرم با اهرم بالا آغاز شد که به مدیر تصفیه اجازه می‌دهد به دست آورد. اکثر وجوه وثیقه از حساب کاربر منحل شده با انتقال بخشی از بدهی ها به خود!

Euler Finance که سال گذشته با مشارکت بازیگران صنعتی مانند FTX، Coinbase، Jump، Jane Street و Uniswap 32 میلیون دلار در دور تأمین مالی جمع آوری کرد، به دلیل ارائه خدمات مشتقات استیکینگ مایع (LSD) مشهور شده بود. LSD ها نوعی توکن هستند که به سهامداران امکان می دهد تا نقدینگی را برای ارزهای رمزپایه شرط بندی شده، مانند اتر ETH باز کنند، که بازدهی را افزایش می دهد. در حال حاضر، ال اس دی ها تا 20 درصد از کل ارزش قفل شده در پروتکل های مالی غیرمتمرکز را تشکیل می دهند. موفقیت حمله Euler Finance به عنوان یادآوری آشکار نیاز به اقدامات امنیتی قوی در فضای DeFi است، به ویژه با توجه به محبوبیت رو به رشد مشتقات و سایر محصولات مشابه!