Euler Finance зазнала флеш-атаки, втратила майже 200 мільйонів доларів
13 березня 2023 року проект Euler Finance зазнав флеш-атаки через вразливість контракту, що призвело до значних збитків у розмірі близько 197 мільйонів доларів. Зловмисники скористалися вразливістю функції donateToReserves токена Etoken в проекті, що не має перевірки ліквідності, і через численні операції з різними валютами отримали величезний прибуток.
Аналіз процесу атаки
Атакуючий спочатку отримав термінові позики на 30 мільйонів DAI з певної платформи кредитування, а потім розгорнув два контракти: кредитування та ліквідації. Основні етапи атаки такі:
Забезпечте 20 мільйонів DAI в контракті Euler Protocol, щоб отримати 19,5 мільйона eDAI.
Використовуючи функцію кредитування з 10-кратним кредитним плечем протоколу Euler, позичити 1.956 мільйона eDAI та 2 мільйона dDAI.
Використати залишок у 10 мільйонів DAI для часткового погашення боргу та знищити відповідну кількість dDAI, а потім знову позичити таку ж кількість eDAI та dDAI.
Через функцію donateToReserves пожертвувати 100 мільйонів eDAI, після чого викликати функцію liquidate для ліквідації, отримавши 310 мільйонів dDAI та 250 мільйонів eDAI.
В кінці було вилучено 38,9 мільйонів DAI, після повернення Термінові позики отримано прибуток близько 8,87 мільйонів DAI.
Причини вразливості
Основною причиною успішної атаки є відсутність необхідної перевірки ліквідності у функції donateToReserves контракту Euler Finance. На відміну від інших ключових функцій, таких як mint, функція donateToReserves не викликає checkLiquidity для перевірки ліквідності користувача, що дозволяє зловмиснику маніпулювати станом свого рахунку, щоб він відповідав умовам ліквідації, що призводить до успішної атаки.
Рекомендації з безпеки
Щодо таких атак, рекомендується командам DeFi проектів:
Провести всебічний аудит безпеки перед запуском контракту, щоб забезпечити безпеку коду.
Особливу увагу слід приділити ключовим етапам, таким як повернення коштів, перевірка ліквідності та ліквідація боргів у проєктах, пов'язаних з позиками.
Переконайтесь, що всі функції, які можуть вплинути на стан активів користувачів, реалізують сувір перевірки безпеки.
Регулярно проводити сканування на вразливості та оцінку безпеки, своєчасно усувати потенційні ризики.
Створити механізм реагування на надзвичайні ситуації, щоб швидко реагувати та вирішувати питання у разі виникнення безпекових інцидентів.
Ця подія знову підкреслила важливість безпеки смарт-контрактів, нагадуючи розробникам Web3 проектів та користувачам завжди бути насторожі та спільно підтримувати безпеку та стабільність екосистеми блокчейн.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
9
Поділіться
Прокоментувати
0/400
ChainMaskedRider
· 07-14 06:12
Це повне знищення!
Переглянути оригіналвідповісти на0
ChainSpy
· 07-13 13:03
Ще один невдах, який попався на Термінові позики.
Переглянути оригіналвідповісти на0
DeFiGrayling
· 07-12 18:27
Ще одна дірка Рект
Переглянути оригіналвідповісти на0
SignatureVerifier
· 07-12 17:03
очевидно недостатня перевірка введених даних... *зітхання* ще один день, ще одна уразливість
Переглянути оригіналвідповісти на0
ForumLurker
· 07-12 17:02
Раніше казав, не чіпай Децентралізовані фінанси
Переглянути оригіналвідповісти на0
GasFeeCrier
· 07-12 16:59
Ще один програш, аж до штанів не залишилося.
Переглянути оригіналвідповісти на0
SundayDegen
· 07-12 16:59
Ще один вбитий
Переглянути оригіналвідповісти на0
mev_me_maybe
· 07-12 16:52
Знову вразливість контракту? Стара схема.
Переглянути оригіналвідповісти на0
GasWaster
· 07-12 16:49
брат, ще один день, ще одна експлуатація... газ, витрачений на невдалі аудити, смх
Euler Finance зазнав флеш-атаки на 200 мільйонів доларів, вразливість контракту стала основною причиною.
Euler Finance зазнала флеш-атаки, втратила майже 200 мільйонів доларів
13 березня 2023 року проект Euler Finance зазнав флеш-атаки через вразливість контракту, що призвело до значних збитків у розмірі близько 197 мільйонів доларів. Зловмисники скористалися вразливістю функції donateToReserves токена Etoken в проекті, що не має перевірки ліквідності, і через численні операції з різними валютами отримали величезний прибуток.
Аналіз процесу атаки
Атакуючий спочатку отримав термінові позики на 30 мільйонів DAI з певної платформи кредитування, а потім розгорнув два контракти: кредитування та ліквідації. Основні етапи атаки такі:
Забезпечте 20 мільйонів DAI в контракті Euler Protocol, щоб отримати 19,5 мільйона eDAI.
Використовуючи функцію кредитування з 10-кратним кредитним плечем протоколу Euler, позичити 1.956 мільйона eDAI та 2 мільйона dDAI.
Використати залишок у 10 мільйонів DAI для часткового погашення боргу та знищити відповідну кількість dDAI, а потім знову позичити таку ж кількість eDAI та dDAI.
Через функцію donateToReserves пожертвувати 100 мільйонів eDAI, після чого викликати функцію liquidate для ліквідації, отримавши 310 мільйонів dDAI та 250 мільйонів eDAI.
В кінці було вилучено 38,9 мільйонів DAI, після повернення Термінові позики отримано прибуток близько 8,87 мільйонів DAI.
Причини вразливості
Основною причиною успішної атаки є відсутність необхідної перевірки ліквідності у функції donateToReserves контракту Euler Finance. На відміну від інших ключових функцій, таких як mint, функція donateToReserves не викликає checkLiquidity для перевірки ліквідності користувача, що дозволяє зловмиснику маніпулювати станом свого рахунку, щоб він відповідав умовам ліквідації, що призводить до успішної атаки.
Рекомендації з безпеки
Щодо таких атак, рекомендується командам DeFi проектів:
Провести всебічний аудит безпеки перед запуском контракту, щоб забезпечити безпеку коду.
Особливу увагу слід приділити ключовим етапам, таким як повернення коштів, перевірка ліквідності та ліквідація боргів у проєктах, пов'язаних з позиками.
Переконайтесь, що всі функції, які можуть вплинути на стан активів користувачів, реалізують сувір перевірки безпеки.
Регулярно проводити сканування на вразливості та оцінку безпеки, своєчасно усувати потенційні ризики.
Створити механізм реагування на надзвичайні ситуації, щоб швидко реагувати та вирішувати питання у разі виникнення безпекових інцидентів.
Ця подія знову підкреслила важливість безпеки смарт-контрактів, нагадуючи розробникам Web3 проектів та користувачам завжди бути насторожі та спільно підтримувати безпеку та стабільність екосистеми блокчейн.