Euler Finance a subi une attaque par Prêts Flash, avec des pertes de près de 200 millions de dollars.
Récemment, un événement majeur de Prêts Flash a choqué le monde des cryptomonnaies. Selon les données de surveillance sur la chaîne, le 13 mars 2023, le projet Euler Finance a été attaqué par des hackers en raison d'une vulnérabilité dans son contrat intelligent, entraînant une perte massive d'environ 197 millions de dollars.
L'attaquant a exploité une vulnérabilité dans la fonction donateToReserves du contrat Euler Finance, qui manquait de vérification de liquidité. En appelant à plusieurs reprises les fonctionnalités associées à différentes devises, le hacker a réussi à obtenir une grande quantité de fonds provenant de ce projet. Cette attaque impliquait 6 jetons, et actuellement, ces fonds volés restent dans le compte de l'attaquant.
Le processus d'attaque est généralement le suivant :
Le hacker a d'abord emprunté 30 millions de DAI via un Prêt Flash sur la plateforme Aave.
Ensuite, deux contrats ont été déployés : un pour les opérations de prêt, l'autre pour les opérations de liquidation.
Déposer les 20 millions de DAI empruntés dans le contrat Euler Protocol pour obtenir environ 19,5 millions d'eDAI.
Utiliser la fonction de levier de 10x du protocole Euler pour emprunter une grande quantité d'eDAI et de dDAI.
Par des opérations astucieuses, répéter plusieurs fois le processus d'emprunt et de remboursement.
Appel final à la fonction donateToReserves vulnérable, don de 10 fois le montant des fonds remboursés.
Déclencher le mécanisme de liquidation pour obtenir une grande quantité de dDAI et d'eDAI.
Enfin, retirer près de 39 millions de DAI, après avoir remboursé le Prêt Flash, un bénéfice net d'environ 8,87 millions de DAI.
En analysant le code du contrat, les chercheurs ont découvert que le problème se situait dans la fonction donateToReserves. Comparée à d'autres fonctions clés, cette fonction manquait de l'étape checkLiquidity, ce qui permettait aux utilisateurs de contourner le contrôle de liquidité et de créer artificiellement un état pouvant être liquidé. Normalement, la fonction checkLiquidity appelle le module RiskManager pour s'assurer que les Etoken des utilisateurs sont toujours supérieurs aux Dtoken, afin de maintenir la sécurité du système.
Cet incident souligne encore une fois l'importance des audits de sécurité des contrats intelligents. Pour les projets de prêt, il est particulièrement important de prêter attention à la sécurité des étapes clés telles que le remboursement des fonds, la détection de la liquidité et le règlement des dettes. Les équipes de projet doivent effectuer un audit de sécurité complet avant le lancement pour prévenir des risques similaires.
En tant que membre de l'écosystème des cryptomonnaies, nous devons tirer des leçons de cet événement. Il nous rappelle que, dans le monde en rapide évolution de la blockchain, la sécurité doit toujours être la priorité absolue. Les développeurs doivent concevoir et mettre en œuvre des contrats intelligents avec plus de prudence, et les investisseurs devraient également être plus vigilants face aux menaces potentielles pour la sécurité. Ce n'est qu'en améliorant constamment la sensibilisation à la sécurité et le niveau technique de l'ensemble de l'industrie que nous pourrons établir un système financier décentralisé plus robuste et digne de confiance.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
7
Reposter
Partager
Commentaire
0/400
NightAirdropper
· 07-16 06:36
Encore une fois, on se fait prendre pour des cons~
Voir l'originalRépondre0
LiquidityWhisperer
· 07-15 19:06
Pourquoi suis-je embêté tous les jours ?
Voir l'originalRépondre0
CryptoTherapist
· 07-14 19:31
déballer ce traumatisme... cas classique d'anxiété de séparation de contrat intelligent à vrai dire
Voir l'originalRépondre0
PermabullPete
· 07-13 10:37
Encore un Finance décentralisée à plat.
Voir l'originalRépondre0
PerpetualLonger
· 07-13 10:31
buy the dip c'est maintenant Je ne fais jamais de Position short Le dernier survivant c'est moi
Euler Finance a subi une attaque par Prêts Flash, entraînant une perte de 197 millions de dollars.
Euler Finance a subi une attaque par Prêts Flash, avec des pertes de près de 200 millions de dollars.
Récemment, un événement majeur de Prêts Flash a choqué le monde des cryptomonnaies. Selon les données de surveillance sur la chaîne, le 13 mars 2023, le projet Euler Finance a été attaqué par des hackers en raison d'une vulnérabilité dans son contrat intelligent, entraînant une perte massive d'environ 197 millions de dollars.
L'attaquant a exploité une vulnérabilité dans la fonction donateToReserves du contrat Euler Finance, qui manquait de vérification de liquidité. En appelant à plusieurs reprises les fonctionnalités associées à différentes devises, le hacker a réussi à obtenir une grande quantité de fonds provenant de ce projet. Cette attaque impliquait 6 jetons, et actuellement, ces fonds volés restent dans le compte de l'attaquant.
Le processus d'attaque est généralement le suivant :
Le hacker a d'abord emprunté 30 millions de DAI via un Prêt Flash sur la plateforme Aave.
Ensuite, deux contrats ont été déployés : un pour les opérations de prêt, l'autre pour les opérations de liquidation.
Déposer les 20 millions de DAI empruntés dans le contrat Euler Protocol pour obtenir environ 19,5 millions d'eDAI.
Utiliser la fonction de levier de 10x du protocole Euler pour emprunter une grande quantité d'eDAI et de dDAI.
Par des opérations astucieuses, répéter plusieurs fois le processus d'emprunt et de remboursement.
Appel final à la fonction donateToReserves vulnérable, don de 10 fois le montant des fonds remboursés.
Déclencher le mécanisme de liquidation pour obtenir une grande quantité de dDAI et d'eDAI.
Enfin, retirer près de 39 millions de DAI, après avoir remboursé le Prêt Flash, un bénéfice net d'environ 8,87 millions de DAI.
En analysant le code du contrat, les chercheurs ont découvert que le problème se situait dans la fonction donateToReserves. Comparée à d'autres fonctions clés, cette fonction manquait de l'étape checkLiquidity, ce qui permettait aux utilisateurs de contourner le contrôle de liquidité et de créer artificiellement un état pouvant être liquidé. Normalement, la fonction checkLiquidity appelle le module RiskManager pour s'assurer que les Etoken des utilisateurs sont toujours supérieurs aux Dtoken, afin de maintenir la sécurité du système.
Cet incident souligne encore une fois l'importance des audits de sécurité des contrats intelligents. Pour les projets de prêt, il est particulièrement important de prêter attention à la sécurité des étapes clés telles que le remboursement des fonds, la détection de la liquidité et le règlement des dettes. Les équipes de projet doivent effectuer un audit de sécurité complet avant le lancement pour prévenir des risques similaires.
En tant que membre de l'écosystème des cryptomonnaies, nous devons tirer des leçons de cet événement. Il nous rappelle que, dans le monde en rapide évolution de la blockchain, la sécurité doit toujours être la priorité absolue. Les développeurs doivent concevoir et mettre en œuvre des contrats intelligents avec plus de prudence, et les investisseurs devraient également être plus vigilants face aux menaces potentielles pour la sécurité. Ce n'est qu'en améliorant constamment la sensibilisation à la sécurité et le niveau technique de l'ensemble de l'industrie que nous pourrons établir un système financier décentralisé plus robuste et digne de confiance.