Euler Finance flaş kredi saldırısı ile karşılaştı, yaklaşık 2 milyar dolar zarar
13 Mart 2023'te, Euler Finance projesi bir sözleşme açığı nedeniyle flaş kredi saldırısına uğrayarak yaklaşık 197 milyon dolar kayba uğradı. Saldırganlar, proje içindeki Etoken'in donateToReserves fonksiyonunun likidite kontrolü eksikliğinden yararlanarak, farklı para birimlerini kullanarak bir dizi işlemle büyük kazanç elde ettiler.
Saldırı Süreci Analizi
Saldırgan önce bir borç verme platformundan 30 milyon DAI tutarında Flaş Krediler alır ve iki sözleşme kurar: borç verme sözleşmesi ve tasfiye sözleşmesi.
Ardından 20 milyon DAI'yi Euler Protocol sözleşmesine teminat olarak yatırarak 19.5 milyon eDAI aldım.
Euler Protocol'un 10 kat kaldıraç özelliğini kullanarak 1.956 milyon eDAI ve 2 milyon dDAI ödünç alın.
Kalan 10 milyon DAI ile bir kısmını geri ödeyin ve ilgili dDAI'yi yok edin, ardından eşit miktarda eDAI ve dDAI'yi tekrar borç alın.
donateToReserves fonksiyonu aracılığıyla 100 milyon eDAI (geri ödeme fonunun 10 katı) bağışlayın ve hemen tasfiye işlemini gerçekleştirin, 310 milyon dDAI ve 250 milyon eDAI alın.
Son olarak 38.9 milyon DAI çekildi, 30 milyon DAI flaş kredisi geri ödendi, net kar yaklaşık 8.87 milyon DAI.
Açık Nedeni
Saldırının başarılı olmasının anahtarı, Euler Finance'in donateToReserves fonksiyonunun gerekli likidite kontrollerini içermemesidir. mint gibi diğer fonksiyonların aksine, donateToReserves, kullanıcıların fon durumunu doğrulamak için checkLiquidity fonksiyonunu çağırmamaktadır. Bu, saldırganların kendi hesaplarını tasfiye edilebilecek bir duruma manipüle etmelerine ve ardından tasfiye kârı elde etmelerine olanak tanımaktadır.
Normal koşullarda, checkLiquidity fonksiyonu RiskManager modülünü çağırarak kullanıcıların Etoken miktarının Dtoken miktarından fazla olmasını sağlar ve hesap sağlığını korur. Ancak, donateToReserves fonksiyonu bu kritik adımı atlayarak saldırganlara bir fırsat sunmuştur.
Güvenlik Önerileri
Bu olay, akıllı sözleşmelerin güvenlik denetimlerinin önemini vurgulamaktadır. Borç verme projeleri için özellikle aşağıdaki birkaç noktaya odaklanılmalıdır:
Fonların geri ödeme mekanizmasının bütünlüğü
Likidite testinin kapsamı
Borç tasfiye sürecinin titizliği
Proje ekibi, sözleşmenin dağıtımından önce kapsamlı ve derinlemesine bir güvenlik denetimi yapmalıdır; bu, her bir fonksiyonun güvenliğini ve istikrarını sağlamak içindir. Aynı zamanda, sürekli güvenlik izleme ve zamanında açık düzeltmeleri, projenin uzun vadeli güvenli çalışmasını sağlamak için gerekli önlemlerdir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
7
Repost
Share
Comment
0/400
Ser_Liquidated
· 07-14 00:49
Bir projeyi daha feda etmemiz gerekiyor tks
View OriginalReply0
mev_me_maybe
· 07-14 00:03
Yine yine yine dumping'e uğradı.
View OriginalReply0
0xSoulless
· 07-13 14:42
enayiler her yıl kesilir, kesildikten sonra da kesilmeye devam edilir.
View OriginalReply0
RugpullSurvivor
· 07-11 02:50
Yine büyük bir kazan! İçinde en azından bir suçluluk hissi yok mu?
View OriginalReply0
GasFeeCrier
· 07-11 02:46
Proje Ekibi'nin kaybolmasını ve Rug Pull yapmasını bekliyorum
View OriginalReply0
GasFeeCrybaby
· 07-11 02:39
Yine çalındı, tüh tüh.
View OriginalReply0
GasWaster
· 07-11 02:35
rip... bir başka pahalı gaz optimizasyonu dersi smh
Euler Finance, 2 milyon dolarlık flaş kredi saldırısına uğradı, sözleşme açığı ana sebep oldu.
Euler Finance flaş kredi saldırısı ile karşılaştı, yaklaşık 2 milyar dolar zarar
13 Mart 2023'te, Euler Finance projesi bir sözleşme açığı nedeniyle flaş kredi saldırısına uğrayarak yaklaşık 197 milyon dolar kayba uğradı. Saldırganlar, proje içindeki Etoken'in donateToReserves fonksiyonunun likidite kontrolü eksikliğinden yararlanarak, farklı para birimlerini kullanarak bir dizi işlemle büyük kazanç elde ettiler.
Saldırı Süreci Analizi
Saldırgan önce bir borç verme platformundan 30 milyon DAI tutarında Flaş Krediler alır ve iki sözleşme kurar: borç verme sözleşmesi ve tasfiye sözleşmesi.
Ardından 20 milyon DAI'yi Euler Protocol sözleşmesine teminat olarak yatırarak 19.5 milyon eDAI aldım.
Euler Protocol'un 10 kat kaldıraç özelliğini kullanarak 1.956 milyon eDAI ve 2 milyon dDAI ödünç alın.
Kalan 10 milyon DAI ile bir kısmını geri ödeyin ve ilgili dDAI'yi yok edin, ardından eşit miktarda eDAI ve dDAI'yi tekrar borç alın.
donateToReserves fonksiyonu aracılığıyla 100 milyon eDAI (geri ödeme fonunun 10 katı) bağışlayın ve hemen tasfiye işlemini gerçekleştirin, 310 milyon dDAI ve 250 milyon eDAI alın.
Son olarak 38.9 milyon DAI çekildi, 30 milyon DAI flaş kredisi geri ödendi, net kar yaklaşık 8.87 milyon DAI.
Açık Nedeni
Saldırının başarılı olmasının anahtarı, Euler Finance'in donateToReserves fonksiyonunun gerekli likidite kontrollerini içermemesidir. mint gibi diğer fonksiyonların aksine, donateToReserves, kullanıcıların fon durumunu doğrulamak için checkLiquidity fonksiyonunu çağırmamaktadır. Bu, saldırganların kendi hesaplarını tasfiye edilebilecek bir duruma manipüle etmelerine ve ardından tasfiye kârı elde etmelerine olanak tanımaktadır.
Normal koşullarda, checkLiquidity fonksiyonu RiskManager modülünü çağırarak kullanıcıların Etoken miktarının Dtoken miktarından fazla olmasını sağlar ve hesap sağlığını korur. Ancak, donateToReserves fonksiyonu bu kritik adımı atlayarak saldırganlara bir fırsat sunmuştur.
Güvenlik Önerileri
Bu olay, akıllı sözleşmelerin güvenlik denetimlerinin önemini vurgulamaktadır. Borç verme projeleri için özellikle aşağıdaki birkaç noktaya odaklanılmalıdır:
Proje ekibi, sözleşmenin dağıtımından önce kapsamlı ve derinlemesine bir güvenlik denetimi yapmalıdır; bu, her bir fonksiyonun güvenliğini ve istikrarını sağlamak içindir. Aynı zamanda, sürekli güvenlik izleme ve zamanında açık düzeltmeleri, projenin uzun vadeli güvenli çalışmasını sağlamak için gerekli önlemlerdir.