Euler Finance mengalami serangan pinjaman flash, kehilangan hampir 200 juta dolar AS
Pada 13 Maret 2023, proyek Euler Finance mengalami serangan flash loan akibat celah kontrak, yang mengakibatkan kerugian sekitar 197 juta dolar AS. Penyerang memanfaatkan celah dalam fungsi donateToReserves dari Etoken di proyek yang kurang memiliki pemeriksaan likuiditas, dan melalui beberapa operasi dengan berbagai jenis koin, mereka memperoleh keuntungan besar.
Analisis Proses Serangan
Penyerang pertama-tama meminjam 30 juta DAI dari platform pinjaman flash dan menerapkan dua kontrak: kontrak pinjaman dan kontrak likuidasi.
Kemudian mengunci 20 juta DAI ke dalam kontrak Protokol Euler, mendapatkan 19,5 juta eDAI.
Memanfaatkan fitur leverage 10x dari Protokol Euler, meminjam 195.6 juta eDAI dan 200 juta dDAI.
Menggunakan sisa 10 juta DAI untuk membayar sebagian utang dan menghancurkan dDAI yang sesuai, kemudian meminjam kembali jumlah eDAI dan dDAI yang sama.
Melalui fungsi donateToReserves,捐赠 100 juta eDAI (10 kali lipat dari dana yang akan dibayar), dan segera melakukan tindakan likuidasi, memperoleh 310 juta dDAI dan 250 juta eDAI.
Terakhir, tarik 38,9 juta DAI, kembalikan Pinjaman Flash sebesar 30 juta DAI, dengan laba bersih sekitar 8,87 juta DAI.
Penyebab Kerentanan
Kunci keberhasilan serangan terletak pada fungsi donateToReserves dari Euler Finance yang tidak memiliki pemeriksaan likuiditas yang diperlukan. Berbeda dengan fungsi lain seperti mint, donateToReserves tidak memanggil fungsi checkLiquidity untuk memverifikasi status dana pengguna. Ini memungkinkan penyerang untuk memanipulasi akun mereka sendiri memasuki keadaan yang dapat dilikuidasi, dan kemudian melakukan likuidasi untuk mendapatkan keuntungan.
Dalam kondisi normal, fungsi checkLiquidity akan memanggil modul RiskManager, memastikan jumlah Etoken pengguna lebih besar dari jumlah Dtoken, untuk menjaga kesehatan akun. Namun, fungsi donateToReserves melewati langkah penting ini, memberikan kesempatan kepada penyerang.
Saran Keamanan
Peristiwa ini menyoroti pentingnya audit keamanan kontrak pintar. Untuk proyek peminjaman, perlu memperhatikan beberapa aspek berikut:
Integritas mekanisme pengembalian dana
Komprehensifitas Deteksi Likuiditas
Ketelitian Proses Likuidasi Utang
Pihak proyek harus melakukan audit keamanan yang menyeluruh dan mendalam sebelum penyebaran kontrak, untuk memastikan keamanan dan stabilitas setiap fungsi. Selain itu, pemantauan keamanan yang berkelanjutan dan perbaikan kerentanan yang tepat waktu juga merupakan langkah-langkah yang diperlukan untuk menjaga operasi proyek yang aman dalam jangka panjang.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
7
Posting ulang
Bagikan
Komentar
0/400
Ser_Liquidated
· 07-14 00:49
Sekali lagi harus mempersembahkan sebuah proyek tks
Lihat AsliBalas0
mev_me_maybe
· 07-14 00:03
Lagi-lagi terkena dumping
Lihat AsliBalas0
0xSoulless
· 07-13 14:42
suckers tahun demi tahun play people for suckers, setelah dipotong langsung dipotong lagi
Lihat AsliBalas0
RugpullSurvivor
· 07-11 02:50
Ini lagi panci besar! Tidak merasa sedikit rasa bersalah?
Lihat AsliBalas0
GasFeeCrier
· 07-11 02:46
Menunggu tim proyek menghilang Rug Pull
Lihat AsliBalas0
GasFeeCrybaby
· 07-11 02:39
Sekali lagi dicuri, tsk tsk
Lihat AsliBalas0
GasWaster
· 07-11 02:35
rip... pelajaran mahal lainnya dalam optimasi gas smh
Euler Finance mengalami serangan pinjaman flash sebesar 200 juta dolar AS, celah kontrak menjadi penyebab utama.
Euler Finance mengalami serangan pinjaman flash, kehilangan hampir 200 juta dolar AS
Pada 13 Maret 2023, proyek Euler Finance mengalami serangan flash loan akibat celah kontrak, yang mengakibatkan kerugian sekitar 197 juta dolar AS. Penyerang memanfaatkan celah dalam fungsi donateToReserves dari Etoken di proyek yang kurang memiliki pemeriksaan likuiditas, dan melalui beberapa operasi dengan berbagai jenis koin, mereka memperoleh keuntungan besar.
Analisis Proses Serangan
Penyerang pertama-tama meminjam 30 juta DAI dari platform pinjaman flash dan menerapkan dua kontrak: kontrak pinjaman dan kontrak likuidasi.
Kemudian mengunci 20 juta DAI ke dalam kontrak Protokol Euler, mendapatkan 19,5 juta eDAI.
Memanfaatkan fitur leverage 10x dari Protokol Euler, meminjam 195.6 juta eDAI dan 200 juta dDAI.
Menggunakan sisa 10 juta DAI untuk membayar sebagian utang dan menghancurkan dDAI yang sesuai, kemudian meminjam kembali jumlah eDAI dan dDAI yang sama.
Melalui fungsi donateToReserves,捐赠 100 juta eDAI (10 kali lipat dari dana yang akan dibayar), dan segera melakukan tindakan likuidasi, memperoleh 310 juta dDAI dan 250 juta eDAI.
Terakhir, tarik 38,9 juta DAI, kembalikan Pinjaman Flash sebesar 30 juta DAI, dengan laba bersih sekitar 8,87 juta DAI.
Penyebab Kerentanan
Kunci keberhasilan serangan terletak pada fungsi donateToReserves dari Euler Finance yang tidak memiliki pemeriksaan likuiditas yang diperlukan. Berbeda dengan fungsi lain seperti mint, donateToReserves tidak memanggil fungsi checkLiquidity untuk memverifikasi status dana pengguna. Ini memungkinkan penyerang untuk memanipulasi akun mereka sendiri memasuki keadaan yang dapat dilikuidasi, dan kemudian melakukan likuidasi untuk mendapatkan keuntungan.
Dalam kondisi normal, fungsi checkLiquidity akan memanggil modul RiskManager, memastikan jumlah Etoken pengguna lebih besar dari jumlah Dtoken, untuk menjaga kesehatan akun. Namun, fungsi donateToReserves melewati langkah penting ini, memberikan kesempatan kepada penyerang.
Saran Keamanan
Peristiwa ini menyoroti pentingnya audit keamanan kontrak pintar. Untuk proyek peminjaman, perlu memperhatikan beberapa aspek berikut:
Pihak proyek harus melakukan audit keamanan yang menyeluruh dan mendalam sebelum penyebaran kontrak, untuk memastikan keamanan dan stabilitas setiap fungsi. Selain itu, pemantauan keamanan yang berkelanjutan dan perbaikan kerentanan yang tepat waktu juga merupakan langkah-langkah yang diperlukan untuk menjaga operasi proyek yang aman dalam jangka panjang.