# Euler Financeがフラッシュローン攻撃に遭い、約2億ドルの損失を被った2023年3月13日、Euler Financeプロジェクトは契約の脆弱性によりフラッシュローン攻撃を受け、約1.97億ドルの損失を被りました。攻撃者はプロジェクト内のEtokenのdonateToReserves関数の流動性チェックの欠如という脆弱性を利用し、異なる通貨を使った複数の操作を通じて巨額の利益を得ました。! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/social/moments-d96e9a72838647eecb62e1dfc48f2f5d)## 攻撃プロセス分析1. 攻撃者はまずある貸出プラットフォームからフラッシュローンで3000万DAIを借り入れ、2つの契約を展開しました:貸出契約と清算契約。2. その後、2000万DAIをEuler Protocolの契約にステーキングし、1950万eDAIを獲得しました。3. オイラー議定書の10倍のレバレッジを活用して、1億9,560万eDAIと2億dDAIを貸し出します。4. 残りの1000万DAIを使用して一部の債務を返済し、相応のdDAIを焼却した後、再び同等の数量のeDAIとdDAIを借り出します。5. donateToReserves機能を通じて1億eDAI(返済資金の10倍)を寄付し、すぐに清算操作を実行して3億1,000万dDAIと2億5,000万eDAIを獲得します。6. 最後に3890万DAIを引き出し、フラッシュローンの3000万DAIを返済し、純利益は約887万DAI。! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/social/moments-32928681c9e7631491b5a5f1699820a9)! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/social/moments-6d4e5a95a6c33353e8f326a5f074b12b)! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/social/moments-a52f3c784e670d5ebb507b20436f78a0)! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/social/moments-6246cad18508cd8a8c88619d67fe149c)! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/social/moments-84b8e2f409d5518b194b74407b07e02e)! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/social/moments-17ba97f8bbe91404afdca27e5c1dc559)! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/social/moments-469ffb75f34d18ce6807e39d655ca789)! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/social/moments-365fa6b36d54052ee6efd59f44a1a6f5)! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/social/moments-c071e7e84eb0dc7826b7c954f546987e)## 脆弱性の原因攻撃が成功する鍵は、Euler FinanceのdonateToReserves関数が必要な流動性チェックを欠いていることです。mintなどの他の関数とは異なり、donateToReservesはユーザーの資金状況を検証するためにcheckLiquidity関数を呼び出していません。これにより、攻撃者は自分のアカウントを操作して清算可能な状態に入り、その後清算によって利益を得ることができました。通常、checkLiquidity関数はRiskManagerモジュールを呼び出し、ユーザーのEtokenの数がDtokenの数よりも多いことを確認してアカウントの健全な状態を維持します。しかし、donateToReserves関数はこの重要なステップをスキップし、攻撃者に機会を提供しました。! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/social/moments-a00d28f9fe7463d52cfd055540fad6af)## セキュリティの推奨事項今回の事件は、スマートコントラクトのセキュリティ監査の重要性を浮き彫りにしました。借貸プロジェクトに関しては、特に以下のいくつかの側面に重点を置く必要があります:1. 資金返還メカニズムの完全性2. 流動性テストの網羅性3. 債務清算プロセスの厳密性プロジェクトチームは、契約の展開前に包括的かつ徹底的なセキュリティ監査を実施し、各機能の安全性と安定性を確保する必要があります。また、継続的なセキュリティ監視と迅速な脆弱性修正も、プロジェクトの長期的な安全な運営を保障するための必要な措置です。
Euler Financeが2億ドルのフラッシュローン攻撃を受け、契約の脆弱性が主な原因
Euler Financeがフラッシュローン攻撃に遭い、約2億ドルの損失を被った
2023年3月13日、Euler Financeプロジェクトは契約の脆弱性によりフラッシュローン攻撃を受け、約1.97億ドルの損失を被りました。攻撃者はプロジェクト内のEtokenのdonateToReserves関数の流動性チェックの欠如という脆弱性を利用し、異なる通貨を使った複数の操作を通じて巨額の利益を得ました。
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-d96e9a72838647eecb62e1dfc48f2f5d.webp)
攻撃プロセス分析
攻撃者はまずある貸出プラットフォームからフラッシュローンで3000万DAIを借り入れ、2つの契約を展開しました:貸出契約と清算契約。
その後、2000万DAIをEuler Protocolの契約にステーキングし、1950万eDAIを獲得しました。
オイラー議定書の10倍のレバレッジを活用して、1億9,560万eDAIと2億dDAIを貸し出します。
残りの1000万DAIを使用して一部の債務を返済し、相応のdDAIを焼却した後、再び同等の数量のeDAIとdDAIを借り出します。
donateToReserves機能を通じて1億eDAI(返済資金の10倍)を寄付し、すぐに清算操作を実行して3億1,000万dDAIと2億5,000万eDAIを獲得します。
最後に3890万DAIを引き出し、フラッシュローンの3000万DAIを返済し、純利益は約887万DAI。
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-32928681c9e7631491b5a5f1699820a9.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-6d4e5a95a6c33353e8f326a5f074b12b.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-a52f3c784e670d5ebb507b20436f78a0.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-6246cad18508cd8a8c88619d67fe149c.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-84b8e2f409d5518b194b74407b07e02e.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-17ba97f8bbe91404afdca27e5c1dc559.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-469ffb75f34d18ce6807e39d655ca789.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-365fa6b36d54052ee6efd59f44a1a6f5.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-c071e7e84eb0dc7826b7c954f546987e.webp)
脆弱性の原因
攻撃が成功する鍵は、Euler FinanceのdonateToReserves関数が必要な流動性チェックを欠いていることです。mintなどの他の関数とは異なり、donateToReservesはユーザーの資金状況を検証するためにcheckLiquidity関数を呼び出していません。これにより、攻撃者は自分のアカウントを操作して清算可能な状態に入り、その後清算によって利益を得ることができました。
通常、checkLiquidity関数はRiskManagerモジュールを呼び出し、ユーザーのEtokenの数がDtokenの数よりも多いことを確認してアカウントの健全な状態を維持します。しかし、donateToReserves関数はこの重要なステップをスキップし、攻撃者に機会を提供しました。
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-a00d28f9fe7463d52cfd055540fad6af.webp)
セキュリティの推奨事項
今回の事件は、スマートコントラクトのセキュリティ監査の重要性を浮き彫りにしました。借貸プロジェクトに関しては、特に以下のいくつかの側面に重点を置く必要があります:
プロジェクトチームは、契約の展開前に包括的かつ徹底的なセキュリティ監査を実施し、各機能の安全性と安定性を確保する必要があります。また、継続的なセキュリティ監視と迅速な脆弱性修正も、プロジェクトの長期的な安全な運営を保障するための必要な措置です。