Euler Finance sufrió un ataque de flash loan, con pérdidas de casi 200 millones de dólares.
Recientemente, un importante ataque de flash loan ha conmocionado el mundo de las criptomonedas. Según los datos de monitoreo en cadena, el 13 de marzo de 2023, el proyecto Euler Finance fue atacado por hackers debido a una vulnerabilidad en su contrato inteligente, lo que resultó en una enorme pérdida de aproximadamente 197 millones de dólares.
Los atacantes aprovecharon la vulnerabilidad en la función donateToReserves del contrato de Euler Finance, que carecía de una verificación de liquidez. Al llamar repetidamente a las funciones relacionadas con diferentes criptomonedas, los hackers lograron obtener una gran cantidad de fondos de este proyecto. Este ataque involucró 6 tipos de tokens, y actualmente esos fondos robados aún permanecen en la cuenta de los atacantes.
El proceso del ataque es aproximadamente el siguiente:
Los hackers primero piden prestados 30 millones de DAI de la plataforma Aave para realizar un Flash Loan.
Luego se desplegaron dos contratos: uno para operaciones de préstamo y el otro para operaciones de liquidación.
Depositar los 20 millones de DAI prestados en el contrato de Euler Protocol, obteniendo aproximadamente 19.5 millones de eDAI.
Utilizar la función de apalancamiento de 10x del Protocolo Euler para prestar grandes cantidades de eDAI y dDAI.
A través de operaciones ingeniosas, repetir múltiples veces el proceso de préstamo y reembolso.
Finalmente, se llama a la función donateToReserves con vulnerabilidades, donando 10 veces la cantidad de fondos reembolsados.
Activar el mecanismo de liquidación para obtener una gran cantidad de dDAI y eDAI.
Por último, se extrajeron casi 39 millones de DAI, y después de devolver el Flash Loans, se obtuvo una ganancia neta de aproximadamente 8.87 millones de DAI.
A través del análisis del código del contrato, los investigadores descubrieron que el problema radicaba en la función donateToReserves. A diferencia de otras funciones clave, esta función carece del paso checkLiquidity, lo que permite a los usuarios eludir la verificación de liquidez y crear artificialmente un estado que puede ser liquidado. Normalmente, la función checkLiquidity llamaría al módulo RiskManager para asegurar que el Etoken del usuario siempre sea mayor que el Dtoken, con el fin de mantener la seguridad del sistema.
Este incidente destaca una vez más la importancia de la auditoría de seguridad de los contratos inteligentes. Para los proyectos de préstamos, es especialmente importante prestar atención a la seguridad de los aspectos clave como el reembolso de fondos, la detección de liquidez y la liquidación de deudas. Los desarrolladores del proyecto deben llevar a cabo una auditoría de seguridad completa antes de su lanzamiento para prevenir riesgos similares.
Como parte del ecosistema de criptomonedas, debemos aprender de este evento. Nos recuerda que, en el mundo de blockchain en rápida evolución, la seguridad es siempre la prioridad número uno. Los desarrolladores necesitan diseñar e implementar contratos inteligentes con más precaución, y los inversores también deben estar más alerta a las posibles vulnerabilidades de seguridad. Solo al elevar continuamente la conciencia de seguridad y el nivel técnico de toda la industria, podremos establecer un sistema financiero descentralizado más robusto y confiable.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
7
Republicar
Compartir
Comentar
0/400
NightAirdropper
· 07-16 06:36
Otra vez vienen a tomar a la gente por tonta~
Ver originalesResponder0
LiquidityWhisperer
· 07-15 19:06
¿Por qué me molestan todos los días?
Ver originalesResponder0
CryptoTherapist
· 07-14 19:31
desempaquetando este trauma... caso clásico de ansiedad por separación de contratos inteligentes, para ser honesto
Ver originalesResponder0
PermabullPete
· 07-13 10:37
Otra vez tumbado en Finanzas descentralizadas
Ver originalesResponder0
PerpetualLonger
· 07-13 10:31
comprar la caída es ahora. Desde nunca tener una posición corta, el último sobreviviente soy yo.
Ver originalesResponder0
CounterIndicator
· 07-13 10:26
El equipo detrás del proyecto actúa muy rápido...
Ver originalesResponder0
ForkTongue
· 07-13 10:24
Otra vez los contratos inteligentes tienen problemas
Euler Finance sufrió un ataque de flash loan, con pérdidas de 197 millones de dólares.
Euler Finance sufrió un ataque de flash loan, con pérdidas de casi 200 millones de dólares.
Recientemente, un importante ataque de flash loan ha conmocionado el mundo de las criptomonedas. Según los datos de monitoreo en cadena, el 13 de marzo de 2023, el proyecto Euler Finance fue atacado por hackers debido a una vulnerabilidad en su contrato inteligente, lo que resultó en una enorme pérdida de aproximadamente 197 millones de dólares.
Los atacantes aprovecharon la vulnerabilidad en la función donateToReserves del contrato de Euler Finance, que carecía de una verificación de liquidez. Al llamar repetidamente a las funciones relacionadas con diferentes criptomonedas, los hackers lograron obtener una gran cantidad de fondos de este proyecto. Este ataque involucró 6 tipos de tokens, y actualmente esos fondos robados aún permanecen en la cuenta de los atacantes.
El proceso del ataque es aproximadamente el siguiente:
Los hackers primero piden prestados 30 millones de DAI de la plataforma Aave para realizar un Flash Loan.
Luego se desplegaron dos contratos: uno para operaciones de préstamo y el otro para operaciones de liquidación.
Depositar los 20 millones de DAI prestados en el contrato de Euler Protocol, obteniendo aproximadamente 19.5 millones de eDAI.
Utilizar la función de apalancamiento de 10x del Protocolo Euler para prestar grandes cantidades de eDAI y dDAI.
A través de operaciones ingeniosas, repetir múltiples veces el proceso de préstamo y reembolso.
Finalmente, se llama a la función donateToReserves con vulnerabilidades, donando 10 veces la cantidad de fondos reembolsados.
Activar el mecanismo de liquidación para obtener una gran cantidad de dDAI y eDAI.
Por último, se extrajeron casi 39 millones de DAI, y después de devolver el Flash Loans, se obtuvo una ganancia neta de aproximadamente 8.87 millones de DAI.
A través del análisis del código del contrato, los investigadores descubrieron que el problema radicaba en la función donateToReserves. A diferencia de otras funciones clave, esta función carece del paso checkLiquidity, lo que permite a los usuarios eludir la verificación de liquidez y crear artificialmente un estado que puede ser liquidado. Normalmente, la función checkLiquidity llamaría al módulo RiskManager para asegurar que el Etoken del usuario siempre sea mayor que el Dtoken, con el fin de mantener la seguridad del sistema.
Este incidente destaca una vez más la importancia de la auditoría de seguridad de los contratos inteligentes. Para los proyectos de préstamos, es especialmente importante prestar atención a la seguridad de los aspectos clave como el reembolso de fondos, la detección de liquidez y la liquidación de deudas. Los desarrolladores del proyecto deben llevar a cabo una auditoría de seguridad completa antes de su lanzamiento para prevenir riesgos similares.
Como parte del ecosistema de criptomonedas, debemos aprender de este evento. Nos recuerda que, en el mundo de blockchain en rápida evolución, la seguridad es siempre la prioridad número uno. Los desarrolladores necesitan diseñar e implementar contratos inteligentes con más precaución, y los inversores también deben estar más alerta a las posibles vulnerabilidades de seguridad. Solo al elevar continuamente la conciencia de seguridad y el nivel técnico de toda la industria, podremos establecer un sistema financiero descentralizado más robusto y confiable.