Euler Finance зазнала флеш-атаки на 200 мільйонів доларів, вразливість контракту стала основною причиною

robot
Генерація анотацій у процесі

Euler Finance зазнав флеш-атаки, втративши майже 200 мільйонів доларів

13 березня 2023 року проект Euler Finance зазнав флеш-атаки через вразливість у контракті, що призвело до збитків приблизно в 197 мільйонів доларів. Зловмисники використали вразливість функції donateToReserves токена Etoken у проекті, яка не містила перевірки ліквідності, і через багаторазові операції з різними валютами отримали величезний прибуток.

Аналіз вразливостей Euler Finance: як зазнати флеш-атаки, втративши 1,97 мільярда доларів!

Аналіз процесу атаки

  1. Атакуючий спочатку позичає 30 мільйонів DAI з певної платформи термінових позик і розгортає два контракти: контракт на позичання та контракт на ліквідацію.

  2. Потім 20 мільйонів DAI будуть застраховані в контракті Euler Protocol, отримуючи 19,5 мільйонів eDAI.

  3. Використовуючи функцію 10-кратного кредитного плеча Euler Protocol, позичте 195,6 мільйона eDAI та 200 мільйонів dDAI.

  4. Використати залишок 10000000 DAI для часткового погашення боргу та знищити відповідну кількість dDAI, а потім знову позичити таку ж кількість eDAI і dDAI.

  5. Через функцію donateToReserves пожертвувати 100 мільйонів eDAI (в 10 разів більше для погашення фондів) і негайно виконати операцію ліквідації, отримавши 310 мільйонів dDAI та 250 мільйонів eDAI.

  6. В кінці було вилучено 38,9 млн DAI, повернуто термінові позики в 30 млн DAI, чистий прибуток склав приблизно 8,87 млн DAI.

Аналіз вразливостей Euler Finance: Як стати жертвою флеш-атаки, втратили 1.97 мільярда доларів!

Аналіз вразливостей Euler Finance: як зазнати флеш-атаки, втративши 1,97 мільярда доларів!

Аналіз вразливості Euler Finance: як стати жертвою флеш-атаки, втративши 1,97 мільярда доларів!

Аналіз вразливостей Euler Finance: як сталася флеш-атака, збитки 1,97 мільярда доларів!

Аналіз вразливості Euler Finance: як зазнати флеш-атаки, втрати 1,97 мільярда доларів!

Аналіз вразливості Euler Finance: як стати жертвою флеш-атаки, втрати 1.97 мільярда доларів!

Аналіз вразливостей Euler Finance: як зазнати флеш-атаки, втративши 1.97 мільярда доларів!

Аналіз вразливості Euler Finance: як зазнати флеш-атаки, втративши 1.97 мільярдів доларів!

Аналіз вразливостей Euler Finance: як зазнати флеш-атаки, втративши 1,97 мільярда доларів!

Причини вразливості

Ключем до успішної атаки є відсутність необхідної перевірки ліквідності у функції donateToReserves Euler Finance. На відміну від інших функцій, таких як mint, donateToReserves не викликає функцію checkLiquidity для перевірки фінансового стану користувача. Це дозволяє зловмисникові маніпулювати своїм рахунком, щоб потрапити в стан, який може бути ліквідований, а потім виконати ліквідацію для отримання прибутку.

У нормальних умовах функція checkLiquidity викликатиме модуль RiskManager, щоб забезпечити, що кількість Etoken у користувача більша за кількість Dtoken, для підтримки здорового стану рахунку. Однак функція donateToReserves пропускає цей ключовий крок, надаючи можливість для атаки.

Аналіз вразливостей Euler Finance: як стати жертвою флеш-атаки, втрати 1.97 мільярда доларів!

Рекомендації по безпеці

Ця подія підкреслює важливість аудиту безпеки смарт-контрактів. Для проєктів, пов'язаних із кредитуванням, особливо слід звернути увагу на такі аспекти:

  1. Цілісність механізму погашення коштів
  2. Всеосяжність перевірки ліквідності
  3. Суворість процесу ліквідації боргів

Команда проєкту повинна провести всебічний та глибокий аудит безпеки перед розгортанням контракту, щоб забезпечити безпеку та стабільність усіх функцій. Крім того, постійний моніторинг безпеки та своєчасне виправлення вразливостей є необхідними заходами для забезпечення тривалої безпечної роботи проєкту.

EUL0.79%
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • 7
  • Репост
  • Поділіться
Прокоментувати
0/400
Ser_Liquidatedvip
· 07-14 00:49
Знову потрібно жертвувати проектом, дякую
Переглянути оригіналвідповісти на0
mev_me_maybevip
· 07-14 00:03
знову знову знову демпінг
Переглянути оригіналвідповісти на0
0xSoullessvip
· 07-13 14:42
невдахи рік у рік обдурюють людей, як лохів, обдурюючи знову і знову
Переглянути оригіналвідповісти на0
RugpullSurvivorvip
· 07-11 02:50
Знову великий казан! Немає жодного відчуття провини?
Переглянути оригіналвідповісти на0
GasFeeCriervip
· 07-11 02:46
Чекаю, поки вечірка проєкту зникне і вчинить шахрайство.
Переглянути оригіналвідповісти на0
GasFeeCrybabyvip
· 07-11 02:39
Знову вкрали. Тс-тс.
Переглянути оригіналвідповісти на0
GasWastervip
· 07-11 02:35
rip... ще один дорогий урок з оптимізації газу smh
Переглянути оригіналвідповісти на0
  • Закріпити