Euler Finance зазнала флеш-атаки, втратили майже 2 мільярди доларів
Нещодавно велика флеш-атака шокувала криптовалютний світ. Згідно з даними моніторингу в мережі, 13 березня 2023 року проект Euler Finance зазнав атаки хакерів через уразливість в його смарт-контракті, що призвело до величезних збитків у розмірі близько 197 мільйонів доларів.
Зловмисник скористався вразливістю функції donateToReserves в контракті Euler Finance, в якій відсутня перевірка ліквідності. Завдяки багаторазовим викликам відповідних функцій з різними токенами, хакер успішно отримав велику кількість коштів з цього проєкту. У цій атаці було задіяно 6 видів токенів, наразі викрадені кошти все ще залишаються на рахунку зловмисника.
Процес атаки в цілому виглядає так:
Хакер спочатку позичає 30 мільйонів DAI на платформі Aave для Термінові позики.
Потім було розгорнуто два контракти: один для операцій з позиками, а інший для операцій з ліквідацією.
Внести позичені 20 мільйонів DAI в контракт Euler Protocol, отримуючи приблизно 19,5 мільйонів eDAI.
Використання функції 10-кратного важеля Euler Protocol для позики великої кількості eDAI та dDAI.
За допомогою хитрих маніпуляцій багаторазово повторювати процес позики та повернення.
В кінцевому підсумку викликається функція donateToReserves з вразливістю, яка донатить в 10 разів більше, ніж сума повернення.
Запустіть механізм ліквідації, щоб отримати велику кількість dDAI та eDAI.
В кінці витягнули близько 39 мільйонів DAI, повернувши Термінові позики, чистий прибуток склав приблизно 8,87 мільйонів DAI.
Аналізуючи код контракту, дослідники виявили, що проблема полягає у функції donateToReserves. На відміну від інших ключових функцій, ця функція не має етапу checkLiquidity, що дозволяє користувачам обходити перевірку ліквідності та штучно створювати стан, який може бути ліквідований. У нормальних умовах функція checkLiquidity викликає модуль RiskManager, щоб забезпечити, що Etoken користувача завжди більший за Dtoken, для підтримки безпеки системи.
Ця подія знову підкреслює важливість безпеки аудиту смарт-контрактів. Для кредитних проектів особливо важливо звертати увагу на безпеку ключових етапів, таких як повернення коштів, перевірка ліквідності та ліквідація боргів. Компанія-розробник повинна обов'язково провести всебічний аудит безпеки перед запуском проекту, щоб запобігти подібним ризикам.
Як член екосистеми криптовалют, ми повинні винести уроки з цього інциденту. Він нагадує нам, що в швидко змінюваному світі блокчейну безпека завжди є найважливішим пріоритетом. Розробники повинні більш обережно підходити до проектування та реалізації смарт-контрактів, а інвестори також повинні бути більш уважними до потенційних загроз безпеці. Лише постійно підвищуючи безпекову свідомість і технічний рівень у всій галузі, ми зможемо створити більш стійку та надійну децентралізовану фінансову систему.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
7
Репост
Поділіться
Прокоментувати
0/400
NightAirdropper
· 07-16 06:36
Знову обман для дурнів~
Переглянути оригіналвідповісти на0
LiquidityWhisperer
· 07-15 19:06
Чому мене щодня турбують?
Переглянути оригіналвідповісти на0
CryptoTherapist
· 07-14 19:31
розпаковка цієї травми... класичний випадок тривоги через розділення смарт-контрактів, якщо чесно
Переглянути оригіналвідповісти на0
PermabullPete
· 07-13 10:37
Знову лежати в одному з Децентралізовані фінанси
Переглянути оригіналвідповісти на0
PerpetualLonger
· 07-13 10:31
Купувати просадку — це зараз. Ніколи не маю позицій в шорт. Остаточний виживший — це я.
Euler Finance зазнав флеш-атаки, внаслідок якої було втрачено 1.97 мільярда доларів.
Euler Finance зазнала флеш-атаки, втратили майже 2 мільярди доларів
Нещодавно велика флеш-атака шокувала криптовалютний світ. Згідно з даними моніторингу в мережі, 13 березня 2023 року проект Euler Finance зазнав атаки хакерів через уразливість в його смарт-контракті, що призвело до величезних збитків у розмірі близько 197 мільйонів доларів.
Зловмисник скористався вразливістю функції donateToReserves в контракті Euler Finance, в якій відсутня перевірка ліквідності. Завдяки багаторазовим викликам відповідних функцій з різними токенами, хакер успішно отримав велику кількість коштів з цього проєкту. У цій атаці було задіяно 6 видів токенів, наразі викрадені кошти все ще залишаються на рахунку зловмисника.
Процес атаки в цілому виглядає так:
Хакер спочатку позичає 30 мільйонів DAI на платформі Aave для Термінові позики.
Потім було розгорнуто два контракти: один для операцій з позиками, а інший для операцій з ліквідацією.
Внести позичені 20 мільйонів DAI в контракт Euler Protocol, отримуючи приблизно 19,5 мільйонів eDAI.
Використання функції 10-кратного важеля Euler Protocol для позики великої кількості eDAI та dDAI.
За допомогою хитрих маніпуляцій багаторазово повторювати процес позики та повернення.
В кінцевому підсумку викликається функція donateToReserves з вразливістю, яка донатить в 10 разів більше, ніж сума повернення.
Запустіть механізм ліквідації, щоб отримати велику кількість dDAI та eDAI.
В кінці витягнули близько 39 мільйонів DAI, повернувши Термінові позики, чистий прибуток склав приблизно 8,87 мільйонів DAI.
Аналізуючи код контракту, дослідники виявили, що проблема полягає у функції donateToReserves. На відміну від інших ключових функцій, ця функція не має етапу checkLiquidity, що дозволяє користувачам обходити перевірку ліквідності та штучно створювати стан, який може бути ліквідований. У нормальних умовах функція checkLiquidity викликає модуль RiskManager, щоб забезпечити, що Etoken користувача завжди більший за Dtoken, для підтримки безпеки системи.
Ця подія знову підкреслює важливість безпеки аудиту смарт-контрактів. Для кредитних проектів особливо важливо звертати увагу на безпеку ключових етапів, таких як повернення коштів, перевірка ліквідності та ліквідація боргів. Компанія-розробник повинна обов'язково провести всебічний аудит безпеки перед запуском проекту, щоб запобігти подібним ризикам.
Як член екосистеми криптовалют, ми повинні винести уроки з цього інциденту. Він нагадує нам, що в швидко змінюваному світі блокчейну безпека завжди є найважливішим пріоритетом. Розробники повинні більш обережно підходити до проектування та реалізації смарт-контрактів, а інвестори також повинні бути більш уважними до потенційних загроз безпеці. Лише постійно підвищуючи безпекову свідомість і технічний рівень у всій галузі, ми зможемо створити більш стійку та надійну децентралізовану фінансову систему.