Euler Finance подвергся флеш-атаке займа, потеряв почти 200 миллионов долларов
В последнее время проект Euler Finance стал жертвой флеш-атаки займа из-за уязвимости в смарт-контракте, что привело к значительным финансовым потерям. В этой статье будет проведен подробный анализ данного инцидента.
Обзор события
13 марта 2023 года в контракте Etoken проекта Euler Finance функция donateToReserves не имела необходимых проверок ликвидности, что было использовано злоумышленником для проведения флеш-атаки займа. Злоумышленник, проводя множество операций с различными валютами, в конечном итоге вызвал ущерб примерно в 197 миллионов долларов, затронув 6 различных токенов. В настоящее время украденные средства все еще находятся на счету злоумышленника.
Анализ процесса атаки
Нападающий сначала взял в займы 30 миллионов DAI с помощью Срочных займов на одной из платформ, и развернул кредитный контракт и контракт на ликвидацию.
Путем функции deposit заложить 20 миллионов DAI в контракт Euler Protocol и получить 19.5 миллиона eDAI.
Используя функцию 10-кратного рычага протокола Euler, одолжите 1.956 миллиарда eDAI и 2 миллиарда dDAI.
Использовать оставшиеся 10 миллионов DAI для частичного погашения долга и уничтожить соответствующее количество dDAI, затем снова занять равное количество eDAI и dDAI.
Вызвать функцию donateToReserves для пожертвования 100 миллионов eDAI, затем выполнить ликвидацию через функцию liquidate, чтобы получить 310 миллионов dDAI и 250 миллионов eDAI.
В конце с помощью функции withdraw было выведено 38,9 миллиона DAI, возвращено 300 тысяч DAI Срочные займы, чистая прибыль составила 8,87 миллиона DAI.
Анализ причин уязвимости
После аудита кода было установлено, что проблема заключается в функции donateToReserves. В отличие от других ключевых функций, таких как mint, функция donateToReserves не включает важный шаг checkLiquidity.
Функция checkLiquidity обычно вызывает модуль RiskManager для проверки пользователей, чтобы убедиться, что количество Etoken больше количества Dtoken. Поскольку функция donateToReserves не выполняет эту проверку, злоумышленник смог воспользоваться некоторыми функциями протокола, чтобы сначала привести себя в состояние, подлежащее ликвидации, а затем завершить ликвидацию с прибылью.
Рекомендации по безопасности
В связи с такими атаками, командам проекта следует обратить внимание на следующие моменты:
Перед запуском контракта необходимо провести полную проверку безопасности, чтобы обеспечить безопасность контракта.
Проекты в области кредитования должны сосредоточиться на ключевых этапах, таких как возврат средств, проверка ликвидности и ликвидация долгов.
Все функции, которые могут повлиять на состояние активов пользователя, должны содержать необходимые механизмы проверки безопасности.
Регулярно проводить ревью кода и программы поощрения за уязвимости, чтобы своевременно выявлять и устранять потенциальные угрозы.
Создать механизм реагирования на чрезвычайные ситуации, чтобы в случае атаки быстро принять меры по устранению.
С развитием проектов DeFi вопросы безопасности становятся все более важными. Команды проектов должны всегда быть настороже и принимать комплексные меры безопасности для надежной защиты активов пользователей.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
19 Лайков
Награда
19
3
Поделиться
комментарий
0/400
BagHolderTillRetire
· 07-24 17:19
Играть в какие-то хардкорные проекты, лучше покупайте падения BTC со мной.
Euler Finance подвергся флеш-атаке займа на 200 миллионов долларов; уязвимость смарт-контрактов стала причиной бедствия.
Euler Finance подвергся флеш-атаке займа, потеряв почти 200 миллионов долларов
В последнее время проект Euler Finance стал жертвой флеш-атаки займа из-за уязвимости в смарт-контракте, что привело к значительным финансовым потерям. В этой статье будет проведен подробный анализ данного инцидента.
Обзор события
13 марта 2023 года в контракте Etoken проекта Euler Finance функция donateToReserves не имела необходимых проверок ликвидности, что было использовано злоумышленником для проведения флеш-атаки займа. Злоумышленник, проводя множество операций с различными валютами, в конечном итоге вызвал ущерб примерно в 197 миллионов долларов, затронув 6 различных токенов. В настоящее время украденные средства все еще находятся на счету злоумышленника.
Анализ процесса атаки
Нападающий сначала взял в займы 30 миллионов DAI с помощью Срочных займов на одной из платформ, и развернул кредитный контракт и контракт на ликвидацию.
Путем функции deposit заложить 20 миллионов DAI в контракт Euler Protocol и получить 19.5 миллиона eDAI.
Анализ причин уязвимости
После аудита кода было установлено, что проблема заключается в функции donateToReserves. В отличие от других ключевых функций, таких как mint, функция donateToReserves не включает важный шаг checkLiquidity.
Функция checkLiquidity обычно вызывает модуль RiskManager для проверки пользователей, чтобы убедиться, что количество Etoken больше количества Dtoken. Поскольку функция donateToReserves не выполняет эту проверку, злоумышленник смог воспользоваться некоторыми функциями протокола, чтобы сначала привести себя в состояние, подлежащее ликвидации, а затем завершить ликвидацию с прибылью.
Рекомендации по безопасности
В связи с такими атаками, командам проекта следует обратить внимание на следующие моменты:
Перед запуском контракта необходимо провести полную проверку безопасности, чтобы обеспечить безопасность контракта.
Проекты в области кредитования должны сосредоточиться на ключевых этапах, таких как возврат средств, проверка ликвидности и ликвидация долгов.
Все функции, которые могут повлиять на состояние активов пользователя, должны содержать необходимые механизмы проверки безопасности.
Регулярно проводить ревью кода и программы поощрения за уязвимости, чтобы своевременно выявлять и устранять потенциальные угрозы.
Создать механизм реагирования на чрезвычайные ситуации, чтобы в случае атаки быстро принять меры по устранению.
С развитием проектов DeFi вопросы безопасности становятся все более важными. Команды проектов должны всегда быть настороже и принимать комплексные меры безопасности для надежной защиты активов пользователей.