Euler Finance подвергся флеш-атака займа, убытки составили почти 200 миллионов долларов
Недавно одно крупное событие флеш-атаки займа потрясло криптовалютное сообщество. Согласно данным мониторинга в цепочке, 13 марта 2023 года проект Euler Finance стал жертвой хакерской атаки из-за уязвимости в его смарт-контракте, что привело к огромным потерям в размере около 197 миллионов долларов.
Злоумышленник воспользовался уязвимостью в функции donateToReserves контракта Euler Finance, в которой отсутствует проверка ликвидности. Путем многократных вызовов связанных функций различных токенов, хакер успешно получил значительные средства из этого проекта. В атаке было задействовано 6 токенов, в настоящее время украденные средства все еще находятся на счету злоумышленника.
Процесс атаки примерно следующий:
Хакер сначала занял 30 миллионов DAI на платформе Aave с помощью Срочных займов.
Затем были развернуты два контракта: один для операций по займам, другой для операций по ликвидации.
Внести занятые 20 миллионов DAI в контракт Euler Protocol, чтобы получить примерно 19,5 миллионов eDAI.
Использование функции 10-кратного кредитного плеча протокола Euler для заимствования большого количества eDAI и dDAI.
С помощью хитрых манипуляций многократно повторяйте процесс заимствования и погашения.
В конечном итоге вызывается функция donateToReserves, имеющая уязвимость, с пожертвованием суммы, в 10 раз превышающей сумму погашения.
Включите механизм ликвидации, чтобы получить большое количество dDAI и eDAI.
В конце извлекли около 39 миллионов DAI, вернув Срочные займы, чистая прибыль составила около 8,87 миллиона DAI.
Анализируя код контракта, исследователи обнаружили, что проблема заключается в функции donateToReserves. В отличие от других ключевых функций, эта функция не имеет шага checkLiquidity, что позволяет пользователям обходить проверку ликвидности и искусственно создавать состояние, подлежащее ликвидации. В нормальных условиях функция checkLiquidity вызывает модуль RiskManager, чтобы обеспечить, что Etoken пользователя всегда больше Dtoken, для поддержания безопасности системы.
Этот инцидент еще раз подчеркивает важность аудита безопасности смарт-контрактов. Для проектов в области кредитования особенно важно обращать внимание на безопасность ключевых этапов, таких как возврат средств, проверка ликвидности и урегулирование задолженности. Команда проекта должна обязательно провести комплексный аудит безопасности перед запуском, чтобы предотвратить подобные риски.
Как часть экосистемы криптовалют, мы должны извлечь уроки из этого события. Оно напоминает нам, что в быстро развивающем мире блокчейна безопасность всегда является первоочередной задачей. Разработчики должны более осторожно проектировать и реализовывать смарт-контракты, а инвесторы также должны быть более бдительными к потенциальным угрозам безопасности. Только постоянно повышая уровень осведомленности о безопасности и технические навыки всей отрасли, мы сможем создать более устойчивую и надежную децентрализованную финансовую систему.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
7
Репост
Поделиться
комментарий
0/400
NightAirdropper
· 07-16 06:36
Снова будут играть для лохов~
Посмотреть ОригиналОтветить0
LiquidityWhisperer
· 07-15 19:06
Почему меня каждый день беспокоят?
Посмотреть ОригиналОтветить0
CryptoTherapist
· 07-14 19:31
распаковка этой травмы... классический случай тревожности разъединения смарт-контрактов, если честно
Посмотреть ОригиналОтветить0
PermabullPete
· 07-13 10:37
Опять лег на дно в Децентрализованные финансы
Посмотреть ОригиналОтветить0
PerpetualLonger
· 07-13 10:31
покупайте падения сейчас, никогда не открываю шорт, в конечном итоге выживу только я
Euler Finance подвергся флеш-атаке займа, убытки составили 197 миллионов долларов.
Euler Finance подвергся флеш-атака займа, убытки составили почти 200 миллионов долларов
Недавно одно крупное событие флеш-атаки займа потрясло криптовалютное сообщество. Согласно данным мониторинга в цепочке, 13 марта 2023 года проект Euler Finance стал жертвой хакерской атаки из-за уязвимости в его смарт-контракте, что привело к огромным потерям в размере около 197 миллионов долларов.
Злоумышленник воспользовался уязвимостью в функции donateToReserves контракта Euler Finance, в которой отсутствует проверка ликвидности. Путем многократных вызовов связанных функций различных токенов, хакер успешно получил значительные средства из этого проекта. В атаке было задействовано 6 токенов, в настоящее время украденные средства все еще находятся на счету злоумышленника.
Процесс атаки примерно следующий:
Хакер сначала занял 30 миллионов DAI на платформе Aave с помощью Срочных займов.
Затем были развернуты два контракта: один для операций по займам, другой для операций по ликвидации.
Внести занятые 20 миллионов DAI в контракт Euler Protocol, чтобы получить примерно 19,5 миллионов eDAI.
Использование функции 10-кратного кредитного плеча протокола Euler для заимствования большого количества eDAI и dDAI.
С помощью хитрых манипуляций многократно повторяйте процесс заимствования и погашения.
В конечном итоге вызывается функция donateToReserves, имеющая уязвимость, с пожертвованием суммы, в 10 раз превышающей сумму погашения.
Включите механизм ликвидации, чтобы получить большое количество dDAI и eDAI.
В конце извлекли около 39 миллионов DAI, вернув Срочные займы, чистая прибыль составила около 8,87 миллиона DAI.
Анализируя код контракта, исследователи обнаружили, что проблема заключается в функции donateToReserves. В отличие от других ключевых функций, эта функция не имеет шага checkLiquidity, что позволяет пользователям обходить проверку ликвидности и искусственно создавать состояние, подлежащее ликвидации. В нормальных условиях функция checkLiquidity вызывает модуль RiskManager, чтобы обеспечить, что Etoken пользователя всегда больше Dtoken, для поддержания безопасности системы.
Этот инцидент еще раз подчеркивает важность аудита безопасности смарт-контрактов. Для проектов в области кредитования особенно важно обращать внимание на безопасность ключевых этапов, таких как возврат средств, проверка ликвидности и урегулирование задолженности. Команда проекта должна обязательно провести комплексный аудит безопасности перед запуском, чтобы предотвратить подобные риски.
Как часть экосистемы криптовалют, мы должны извлечь уроки из этого события. Оно напоминает нам, что в быстро развивающем мире блокчейна безопасность всегда является первоочередной задачей. Разработчики должны более осторожно проектировать и реализовывать смарт-контракты, а инвесторы также должны быть более бдительными к потенциальным угрозам безопасности. Только постоянно повышая уровень осведомленности о безопасности и технические навыки всей отрасли, мы сможем создать более устойчивую и надежную децентрализованную финансовую систему.