Euler Finance mengalami flash loan attack, kehilangan hampir 200 juta dolar
Pada 13 Maret, proyek Euler Finance mengalami serangan flash loan attack akibat kerentanan kontrak, yang mengakibatkan kerugian dana sekitar 197 juta USD. Penyerang memanfaatkan celah pada fungsi donateToReserves yang tidak memiliki pemeriksaan likuiditas, melalui beberapa operasi dengan berbagai jenis mata uang untuk meraih keuntungan. Saat ini, dana yang dicuri masih terjebak di akun penyerang.
Analisis Proses Serangan
Penyerang pertama-tama meminjam 30 juta DAI dari platform pinjaman menggunakan Pinjaman Flash, dan menerapkan dua kontrak untuk meminjam dan menyelesaikan.
Mengunci 20 juta DAI ke dalam kontrak Protokol Euler, mendapatkan 19,5 juta eDAI.
Memanfaatkan fitur leverage 10x dari Euler Protocol, meminjam 195,6 juta eDAI dan 200 juta dDAI.
Menggunakan sisa 10 juta DAI untuk membayar sebagian utang dan menghancurkan dDAI yang sesuai, kemudian meminjam kembali jumlah yang sama dari eDAI dan dDAI.
Dengan menyumbangkan 100 juta eDAI melalui fungsi donateToReserves, kemudian memanggil fungsi liquidate untuk melakukan likuidasi, memperoleh 310 juta dDAI dan 250 juta eDAI.
Terakhir, menarik 38,9 juta DAI, mengembalikan 30 juta Pinjaman Flash, laba bersih sekitar 8,87 juta DAI.
Analisis Penyebab Kerentanan
Alasan utama keberhasilan serangan adalah kurangnya pemeriksaan likuiditas yang diperlukan pada fungsi donateToReserves. Berbeda dengan fungsi penting lainnya seperti mint, fungsi donateToReserves tidak memanggil checkLiquidity untuk memverifikasi likuiditas pengguna. Ini memungkinkan penyerang untuk melakukan tindakan tertentu yang membuat akun mereka berada dalam keadaan dapat dilikuidasi, dan kemudian menyelesaikan likuidasi untuk mendapatkan keuntungan.
Dalam kondisi normal, fungsi checkLiquidity akan memanggil modul RiskManager untuk memastikan jumlah Etoken pengguna selalu lebih besar dari jumlah Dtoken. Namun, fungsi donateToReserves melewatkan langkah penting ini, menciptakan peluang bagi serangan.
Saran Keamanan
Kejadian ini sekali lagi menyoroti pentingnya audit keamanan kontrak pintar. Pihak proyek harus melakukan pemeriksaan keamanan yang menyeluruh dan rinci sebelum peluncuran, terutama untuk proyek pinjaman, perlu memberi perhatian khusus pada beberapa aspek berikut:
Integritas mekanisme pengembalian dana
Komprehensivitas deteksi likuiditas
Keamanan Proses Likuidasi Utang
Hanya dengan memastikan keamanan dari titik-titik kunci ini, serangan serupa dapat dicegah secara efektif. Seiring dengan perkembangan ekosistem Web3 yang terus berlanjut, keamanan kontrak pintar akan terus menjadi fokus perhatian industri.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
12 Suka
Hadiah
12
6
Posting ulang
Bagikan
Komentar
0/400
LongTermDreamer
· 22jam yang lalu
Tiga tahun kemudian, melihat lagi, ini adalah cerita tentang pengembalian nilai yang berlawanan. Mereka yang mengerti pasti mengerti.
Lihat AsliBalas0
GasBandit
· 22jam yang lalu
Apakah ini lagi kesalahan smart contract? Bagaimana auditnya?
Lihat AsliBalas0
RektCoaster
· 22jam yang lalu
Satu lagi bom, satu lagi kekacauan.
Lihat AsliBalas0
AirdropHarvester
· 22jam yang lalu
Tidak disangka Euler juga mengalami masalah... Tsk tsk
Lihat AsliBalas0
just_here_for_vibes
· 23jam yang lalu
Lagi meledak? Hormat kepada Rug Pull
Lihat AsliBalas0
IronHeadMiner
· 23jam yang lalu
Sekali lagi mesin pemotong suckers mengalami kecelakaan...
Euler Finance mengalami kerugian sebesar 1,97 juta dolar AS akibat serangan pinjaman flash, dengan celah kontrak sebagai penyebab utamanya.
Euler Finance mengalami flash loan attack, kehilangan hampir 200 juta dolar
Pada 13 Maret, proyek Euler Finance mengalami serangan flash loan attack akibat kerentanan kontrak, yang mengakibatkan kerugian dana sekitar 197 juta USD. Penyerang memanfaatkan celah pada fungsi donateToReserves yang tidak memiliki pemeriksaan likuiditas, melalui beberapa operasi dengan berbagai jenis mata uang untuk meraih keuntungan. Saat ini, dana yang dicuri masih terjebak di akun penyerang.
Analisis Proses Serangan
Penyerang pertama-tama meminjam 30 juta DAI dari platform pinjaman menggunakan Pinjaman Flash, dan menerapkan dua kontrak untuk meminjam dan menyelesaikan.
Mengunci 20 juta DAI ke dalam kontrak Protokol Euler, mendapatkan 19,5 juta eDAI.
Memanfaatkan fitur leverage 10x dari Euler Protocol, meminjam 195,6 juta eDAI dan 200 juta dDAI.
Menggunakan sisa 10 juta DAI untuk membayar sebagian utang dan menghancurkan dDAI yang sesuai, kemudian meminjam kembali jumlah yang sama dari eDAI dan dDAI.
Dengan menyumbangkan 100 juta eDAI melalui fungsi donateToReserves, kemudian memanggil fungsi liquidate untuk melakukan likuidasi, memperoleh 310 juta dDAI dan 250 juta eDAI.
Terakhir, menarik 38,9 juta DAI, mengembalikan 30 juta Pinjaman Flash, laba bersih sekitar 8,87 juta DAI.
Analisis Penyebab Kerentanan
Alasan utama keberhasilan serangan adalah kurangnya pemeriksaan likuiditas yang diperlukan pada fungsi donateToReserves. Berbeda dengan fungsi penting lainnya seperti mint, fungsi donateToReserves tidak memanggil checkLiquidity untuk memverifikasi likuiditas pengguna. Ini memungkinkan penyerang untuk melakukan tindakan tertentu yang membuat akun mereka berada dalam keadaan dapat dilikuidasi, dan kemudian menyelesaikan likuidasi untuk mendapatkan keuntungan.
Dalam kondisi normal, fungsi checkLiquidity akan memanggil modul RiskManager untuk memastikan jumlah Etoken pengguna selalu lebih besar dari jumlah Dtoken. Namun, fungsi donateToReserves melewatkan langkah penting ini, menciptakan peluang bagi serangan.
Saran Keamanan
Kejadian ini sekali lagi menyoroti pentingnya audit keamanan kontrak pintar. Pihak proyek harus melakukan pemeriksaan keamanan yang menyeluruh dan rinci sebelum peluncuran, terutama untuk proyek pinjaman, perlu memberi perhatian khusus pada beberapa aspek berikut:
Hanya dengan memastikan keamanan dari titik-titik kunci ini, serangan serupa dapat dicegah secara efektif. Seiring dengan perkembangan ekosistem Web3 yang terus berlanjut, keamanan kontrak pintar akan terus menjadi fokus perhatian industri.