Euler Finance flaş kredi̇ saldirisi nedeniyle yaklaşık 200 milyon dolar kaybetti
Son zamanlarda, Euler Finance projesi akıllı sözleşme açığı nedeniyle flaş kredi saldırısına uğradı ve büyük miktarda para kaybına neden oldu. Bu makalede bu olay detaylı bir şekilde analiz edilecektir.
Saldırgan öncelikle bir borç verme platformundan 30.000.000 DAI tutarında Flaş Krediler aldı ve borç verme sözleşmesi ile tasfiye sözleşmesini dağıttı.
deposit fonksiyonu aracılığıyla 20 milyon DAI'yi Euler Protocol sözleşmesine teminat olarak yatırarak 19.5 milyon eDAI elde edin.
Euler Protocol'ün 10 kat kaldıraç özelliğini kullanarak 1.956 milyon eDAI ve 2 milyon dDAI borç verin.
Kalan 10.000.000 DAI ile borcun bir kısmını geri ödeyin ve ilgili dDAI'yi imha edin, ardından eşit miktarda eDAI ve dDAI'yi tekrar borç alın.
donateToReserves fonksiyonunu çağırarak 1 milyar eDAI bağışlayın, ardından liquidate fonksiyonu ile tasfiye işlemi yaparak 3.1 milyar dDAI ve 2.5 milyar eDAI elde edin.
Son olarak withdraw fonksiyonu ile 3890 bin DAI çekildi, 300 bin DAI Flaş Krediler geri ödendi, net kâr 887 bin DAI oldu.
Açık Nedeni Analizi
Kod incelemesi sonucunda, sorunun donateToReserves fonksiyonunda olduğu belirlendi. mint gibi diğer önemli fonksiyonlarla karşılaştırıldığında, donateToReserves fonksiyonu önemli bir checkLiquidity adımını atlamış.
checkLiquidity fonksiyonu genellikle RiskManager modülünü kullanarak kullanıcıyı kontrol eder ve Etoken miktarının Dtoken miktarından büyük olmasını sağlar. donateToReserves fonksiyonu bu kontrolü sağlamadığından, saldırganlar protokoldeki bazı işlevleri kullanarak önce kendilerini tasfiye edilebilir bir duruma getirebilir ve ardından tasfiyeden kâr elde edebilirler.
Güvenlik Önerileri
Bu tür saldırılar için proje ekipleri aşağıdaki hususlara dikkat etmelidir:
Sözleşme yayına girmeden önce kapsamlı bir güvenlik denetimi yapılmalı ve sözleşmenin güvenliği sağlanmalıdır.
Kredi projeleri, fon geri ödemesi, likidite kontrolü ve borç tasfiye gibi kritik aşamalara dikkat edilmelidir.
Kullanıcı varlık durumunu etkileyebilecek tüm fonksiyonlar gerekli güvenlik kontrol mekanizmalarını içermelidir.
Düzenli olarak kod incelemesi ve hata avı programları yaparak potansiyel tehditleri zamanında tespit edip düzeltin.
Acil müdahale mekanizması oluşturun, bir saldırı olayı meydana geldiğinde hızlı bir şekilde düzeltici önlemler alabilsin.
DeFi projelerinin sürekli gelişimi ile birlikte güvenlik sorunları giderek daha önemli hale geliyor. Proje sahipleri her zaman dikkatli olmalı, kapsamlı güvenlik önlemleri almalı ve kullanıcı varlıklarının güvenliğini sağlamak için güçlü bir koruma sunmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
19 Likes
Reward
19
3
Share
Comment
0/400
BagHolderTillRetire
· 07-24 17:19
Ne tür bir hardcore projeyle uğraşıyorsun, benimle dipten satın al BTC yapmaktan daha iyi değil.
Euler Finance, 200 milyon dolarlık flaş kredi saldırısına uğradı; akıllı sözleşmelerdeki açık felakete neden oldu.
Euler Finance flaş kredi̇ saldirisi nedeniyle yaklaşık 200 milyon dolar kaybetti
Son zamanlarda, Euler Finance projesi akıllı sözleşme açığı nedeniyle flaş kredi saldırısına uğradı ve büyük miktarda para kaybına neden oldu. Bu makalede bu olay detaylı bir şekilde analiz edilecektir.
Olay Özeti
2023年3月13日,Euler Finance项目的Etoken合约中donateToReserves函数缺少必要的流动性检查,被攻击者利用进行Flaş Krediler saldırısı。攻击者通过多次操作不同币种,最终造成约1.97亿美元的损失,涉及6种代币。目前被盗资金仍滞留在攻击者账户中。
Saldırı Süreci Analizi
Saldırgan öncelikle bir borç verme platformundan 30.000.000 DAI tutarında Flaş Krediler aldı ve borç verme sözleşmesi ile tasfiye sözleşmesini dağıttı.
deposit fonksiyonu aracılığıyla 20 milyon DAI'yi Euler Protocol sözleşmesine teminat olarak yatırarak 19.5 milyon eDAI elde edin.
Açık Nedeni Analizi
Kod incelemesi sonucunda, sorunun donateToReserves fonksiyonunda olduğu belirlendi. mint gibi diğer önemli fonksiyonlarla karşılaştırıldığında, donateToReserves fonksiyonu önemli bir checkLiquidity adımını atlamış.
checkLiquidity fonksiyonu genellikle RiskManager modülünü kullanarak kullanıcıyı kontrol eder ve Etoken miktarının Dtoken miktarından büyük olmasını sağlar. donateToReserves fonksiyonu bu kontrolü sağlamadığından, saldırganlar protokoldeki bazı işlevleri kullanarak önce kendilerini tasfiye edilebilir bir duruma getirebilir ve ardından tasfiyeden kâr elde edebilirler.
Güvenlik Önerileri
Bu tür saldırılar için proje ekipleri aşağıdaki hususlara dikkat etmelidir:
Sözleşme yayına girmeden önce kapsamlı bir güvenlik denetimi yapılmalı ve sözleşmenin güvenliği sağlanmalıdır.
Kredi projeleri, fon geri ödemesi, likidite kontrolü ve borç tasfiye gibi kritik aşamalara dikkat edilmelidir.
Kullanıcı varlık durumunu etkileyebilecek tüm fonksiyonlar gerekli güvenlik kontrol mekanizmalarını içermelidir.
Düzenli olarak kod incelemesi ve hata avı programları yaparak potansiyel tehditleri zamanında tespit edip düzeltin.
Acil müdahale mekanizması oluşturun, bir saldırı olayı meydana geldiğinde hızlı bir şekilde düzeltici önlemler alabilsin.
DeFi projelerinin sürekli gelişimi ile birlikte güvenlik sorunları giderek daha önemli hale geliyor. Proje sahipleri her zaman dikkatli olmalı, kapsamlı güvenlik önlemleri almalı ve kullanıcı varlıklarının güvenliğini sağlamak için güçlü bir koruma sunmalıdır.