Euler Finance sofreu um ataque de empréstimo flash, resultando em perdas de 197 milhões de dólares, com a vulnerabilidade do contrato sendo a principal causa.
Euler Finance sofreu um ataque de empréstimo flash, com perdas de quase 200 milhões de dólares.
No dia 13 de março, o projeto Euler Finance sofreu um ataque de empréstimo flash devido a uma vulnerabilidade no contrato, resultando em uma perda de cerca de 197 milhões de dólares em fundos. O atacante explorou a falta de verificação de liquidez na função donateToReserves do projeto, lucrando através de várias operações com diferentes moedas. Atualmente, os fundos roubados ainda estão retidos na conta do atacante.
Análise do Processo de Ataque
O atacante primeiro tomou emprestado 30 milhões de DAI de uma plataforma de empréstimos flash e implantou dois contratos, um para empréstimos e outro para liquidações.
Colocar 20 milhões DAI em staking no contrato do Euler Protocol, recebendo 19,5 milhões eDAI.
Utilizando a funcionalidade de alavancagem de 10x do Euler Protocol, emprestar 195.6 milhões de eDAI e 200 milhões de dDAI.
Usar os restantes 10 milhões DAI para reembolsar parte da dívida e destruir a correspondente dDAI, e depois novamente emprestar uma quantidade igual de eDAI e dDAI.
Através da função donateToReserves, doar 100 milhões de eDAI, e em seguida chamar a função liquidate para realizar a liquidação, obtendo 310 milhões de dDAI e 250 milhões de eDAI.
Por fim, foram retirados 38,9 milhões de DAI, devolvendo 30 milhões de Empréstimos Flash, com um lucro líquido de cerca de 8,87 milhões de DAI.
Análise da Causa da Vulnerabilidade
A principal razão pela qual o ataque teve sucesso é que a função donateToReserves carece de verificações de liquidez necessárias. Comparado a outras funções-chave como mint, a função donateToReserves não chama checkLiquidity para validação da liquidez do usuário. Isso permite que o atacante coloque sua conta em um estado que pode ser liquidado através de operações específicas, e então complete a liquidação para obter lucro.
Normalmente, a função checkLiquidity chamaria o módulo RiskManager, garantindo que a quantidade de Etoken do usuário seja sempre maior que a quantidade de Dtoken. No entanto, a função donateToReserves pulou esse passo crucial, criando uma oportunidade para o ataque.
Sugestões de Segurança
Este incidente destaca novamente a importância da auditoria de segurança em contratos inteligentes. As equipes de projeto devem realizar uma verificação de segurança abrangente e detalhada antes do lançamento, especialmente para projetos de empréstimo, onde é necessário prestar atenção especial aos seguintes aspectos:
Integridade do mecanismo de reembolso de fundos
Abrangência da Detecção de Liquidez
Segurança do processo de liquidação de dívidas
Só garantindo a segurança dessas etapas-chave é que se pode prevenir efetivamente a ocorrência de ataques semelhantes. Com o contínuo desenvolvimento do ecossistema Web3, a segurança dos contratos inteligentes continuará a ser o foco de atenção da indústria.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
12 gostos
Recompensa
12
6
Republicar
Partilhar
Comentar
0/400
LongTermDreamer
· 16h atrás
Daqui a três anos, veremos novamente uma história de reversão de valor. Quem entende, entende.
Ver originalResponder0
GasBandit
· 16h atrás
É outra vez a culpa dos contratos inteligentes? Como é que a auditoria é feita?
Ver originalResponder0
RektCoaster
· 16h atrás
Mais uma bomba, mais uma confusão.
Ver originalResponder0
AirdropHarvester
· 16h atrás
Não esperava que a Euler também tivesse problemas... tsk tsk
Ver originalResponder0
just_here_for_vibes
· 16h atrás
Outra explosão? Homenagem a quem puxou o tapete
Ver originalResponder0
IronHeadMiner
· 16h atrás
Outra máquina de fazer as pessoas de parvas virou-se...
Euler Finance sofreu um ataque de empréstimo flash, resultando em perdas de 197 milhões de dólares, com a vulnerabilidade do contrato sendo a principal causa.
Euler Finance sofreu um ataque de empréstimo flash, com perdas de quase 200 milhões de dólares.
No dia 13 de março, o projeto Euler Finance sofreu um ataque de empréstimo flash devido a uma vulnerabilidade no contrato, resultando em uma perda de cerca de 197 milhões de dólares em fundos. O atacante explorou a falta de verificação de liquidez na função donateToReserves do projeto, lucrando através de várias operações com diferentes moedas. Atualmente, os fundos roubados ainda estão retidos na conta do atacante.
Análise do Processo de Ataque
O atacante primeiro tomou emprestado 30 milhões de DAI de uma plataforma de empréstimos flash e implantou dois contratos, um para empréstimos e outro para liquidações.
Colocar 20 milhões DAI em staking no contrato do Euler Protocol, recebendo 19,5 milhões eDAI.
Utilizando a funcionalidade de alavancagem de 10x do Euler Protocol, emprestar 195.6 milhões de eDAI e 200 milhões de dDAI.
Usar os restantes 10 milhões DAI para reembolsar parte da dívida e destruir a correspondente dDAI, e depois novamente emprestar uma quantidade igual de eDAI e dDAI.
Através da função donateToReserves, doar 100 milhões de eDAI, e em seguida chamar a função liquidate para realizar a liquidação, obtendo 310 milhões de dDAI e 250 milhões de eDAI.
Por fim, foram retirados 38,9 milhões de DAI, devolvendo 30 milhões de Empréstimos Flash, com um lucro líquido de cerca de 8,87 milhões de DAI.
Análise da Causa da Vulnerabilidade
A principal razão pela qual o ataque teve sucesso é que a função donateToReserves carece de verificações de liquidez necessárias. Comparado a outras funções-chave como mint, a função donateToReserves não chama checkLiquidity para validação da liquidez do usuário. Isso permite que o atacante coloque sua conta em um estado que pode ser liquidado através de operações específicas, e então complete a liquidação para obter lucro.
Normalmente, a função checkLiquidity chamaria o módulo RiskManager, garantindo que a quantidade de Etoken do usuário seja sempre maior que a quantidade de Dtoken. No entanto, a função donateToReserves pulou esse passo crucial, criando uma oportunidade para o ataque.
Sugestões de Segurança
Este incidente destaca novamente a importância da auditoria de segurança em contratos inteligentes. As equipes de projeto devem realizar uma verificação de segurança abrangente e detalhada antes do lançamento, especialmente para projetos de empréstimo, onde é necessário prestar atenção especial aos seguintes aspectos:
Só garantindo a segurança dessas etapas-chave é que se pode prevenir efetivamente a ocorrência de ataques semelhantes. Com o contínuo desenvolvimento do ecossistema Web3, a segurança dos contratos inteligentes continuará a ser o foco de atenção da indústria.