यूलर फाइनेंस हैक पोस्टमॉर्टम से 8 महीने पुरानी भेद्यता का पता चलता है

यूलर फाइनेंस के फ्लैश लोन एक्सप्लॉइट के पोस्टमॉर्टम से पता चला है कि शोषण की जड़ में भेद्यता 8 महीने तक चेन पर बनी रही। 

भेद्यता के परिणामस्वरूप, यूलर फाइनेंस को इस सप्ताह की शुरुआत में $200 मिलियन का नुकसान हुआ। 

आठ महीने पुरानी भेद्यता 

यूलर फाइनेंस के ऑडिटिंग पार्टनर, ओम्निशिया ने एक विस्तृत पोस्टमॉर्टम रिपोर्ट जारी की है जिसमें हैकर्स ने सप्ताह के शुरू में शोषण किया था। पोस्टमॉर्टम रिपोर्ट के अनुसार, भेद्यता विकेंद्रीकृत वित्त प्रोटोकॉल के गलत दान तंत्र से हुई, जिसने उचित स्वास्थ्य जांच के बिना दान करने की अनुमति दी। कोड eIP-14 में पेश किया गया था, एक प्रोटोकॉल जिसने यूलर फाइनेंस इकोसिस्टम में कई तरह के बदलाव पेश किए। 

यूलर फाइनेंस उपयोगकर्ताओं को एक ही लेन-देन में संपत्ति का खनन और जमा करके कृत्रिम उत्तोलन बनाने की अनुमति देता है। इस तंत्र ने उपयोगकर्ताओं को यूलर फाइनेंस द्वारा आयोजित संपार्श्विक की तुलना में अधिक टोकन बनाने में सक्षम बनाया। नए तंत्र ने उपयोगकर्ताओं को उनके द्वारा किए गए टोकन के आरक्षित शेष राशि को अपना शेष राशि दान करने की अनुमति दी। हालाँकि, यह दान करने वाले खाते पर किसी भी प्रकार की स्वास्थ्य जाँच करने में विफल रहा। 

कैसे भेद्यता का शोषण किया गया था 

दान के कारण उपयोगकर्ता का ऋण (DToken) अपरिवर्तित रहेगा। हालांकि, उनकी इक्विटी (ईटोकन) बैलेंस में कमी देखी जाएगी। इस बिंदु पर, उपयोगकर्ता के खाते का परिसमापन Dtokens के एक हिस्से को शेष कर देगा, जिससे खराब ऋण का निर्माण होगा। इस दोष ने हमलावर को एक अति-लीवरेज स्थिति बनाने की अनुमति दी और फिर इसे उसी ब्लॉक में कृत्रिम रूप से "पानी के नीचे" जाने के कारण समाप्त कर दिया।

जब हैकर खुद को समाप्त करता है, तो एक प्रतिशत-आधारित छूट लागू होती है, जिसके कारण परिसमापक को छूट पर ईटोकन इकाइयों के एक महत्वपूर्ण हिस्से का भुगतान करना पड़ता है और गारंटी देता है कि वे "पानी से ऊपर" होंगे, जो ऋण प्राप्त करने वाले संपार्श्विक से मेल खाते हैं। इसका परिणाम खराब ऋण (DTokens) के साथ एक उल्लंघनकर्ता और उनके ऋण के अति-संपार्श्विककरण वाले एक परिसमापक के रूप में होगा। 

ओम्निशिया ने कहा कि भेद्यता के केंद्र में स्थित विशेषता फर्म द्वारा किए गए किसी भी ऑडिट के दायरे में नहीं थी। विश्लेषण के अनुसार, विचाराधीन कोड की समीक्षा के लिए एक तृतीय-पक्ष ऑडिट जिम्मेदार था, जिसे तब अनुमोदित किया गया था। DonateToReserves समारोह का ऑडिट जुलाई 2022 में शर्लक टीम द्वारा किया गया था। यूलर और शर्लक ने यह भी पुष्टि की कि शोषण होने पर पूर्व की शर्लक के साथ एक सक्रिय कवरेज नीति थी। 

यूलर फाइनेंस सुरक्षा समूहों के साथ काम कर रहा है 

शोषण के बाद, यूलर फाइनेंस कहा कि प्रोटोकॉल आगे के ऑडिट करने के लिए अन्य सुरक्षा समूहों के साथ काम कर रहा था। इसके अतिरिक्त, यह कहा गया कि उसने चुराए गए धन की वसूली के प्रयास में कानून प्रवर्तन अधिकारियों और एजेंसियों से भी संपर्क किया था। 

"हम यूलर प्रोटोकॉल उपयोगकर्ताओं पर इस हमले के प्रभाव से तबाह हो गए हैं और इसे हल करने के लिए हमारे सुरक्षा भागीदारों, कानून प्रवर्तन और व्यापक समुदाय के साथ काम करना जारी रखेंगे। आपके समर्थन और प्रोत्साहन के लिए बहुत-बहुत धन्यवाद।"

अस्वीकरण: यह लेख केवल सूचना के उद्देश्यों के लिए प्रदान किया गया है। यह कानूनी, कर, निवेश, वित्तीय, या अन्य सलाह के रूप में इस्तेमाल करने की पेशकश या इरादा नहीं है।