Le projet Euler Finance a subi une attaque par prêts flash, entraînant une perte de près de 200 millions de dollars.
Le 13 mars 2023, le projet Euler Finance a subi une attaque par Prêts Flash en raison d'une vulnérabilité dans son contrat intelligent, entraînant une perte d'environ 197 millions de dollars. Cet événement a impliqué 6 types de jetons et est l'une des attaques de plus grande envergure survenant récemment dans le domaine des cryptomonnaies.
L'attaquant a exploité une vulnérabilité clé dans la fonction donateToReserves du contrat Euler Protocol. Contrairement à d'autres fonctions clés, la fonction donateToReserves manque de mécanisme de vérification de liquidité nécessaire, ce qui permet à l'attaquant de manipuler l'état de son propre compte pour le rendre conforme aux conditions de liquidation et ainsi procéder à l'attaque.
Le processus d'attaque est en gros le suivant :
L'attaquant obtient d'abord un prêt flash de 30 millions de DAI sur une plateforme de prêt.
Staker 20 millions DAI dans le protocole Euler pour obtenir environ 19,5 millions eDAI.
Utiliser la fonction de levier de 10x du protocole Euler pour emprunter une grande quantité d'eDAI et de dDAI.
Grâce à une manipulation habile, utilisez la fonction donateToReserves pour faire don d'une grande quantité d'eDAI, puis déclenchez la liquidation.
Pendant le processus de liquidation, l'attaquant a obtenu une grande quantité de dDAI et eDAI.
Enfin, retirez DAI et remboursez le Prêt Flash, en réalisant un bénéfice d'environ 8,87 millions DAI.
Cette attaque a exposé une grave vulnérabilité dans le contrat d'Euler Finance. Normalement, des fonctions clés comme mint appellent checkLiquidity pour vérifier la liquidité, garantissant que le nombre d'eTokens de l'utilisateur est supérieur à celui des dTokens. Cependant, la fonction donateToReserves manque cette étape cruciale, offrant ainsi une opportunité aux attaquants.
Cet événement met à nouveau en évidence l'importance des audits de sécurité des contrats intelligents. Pour les projets de prêt, il est particulièrement nécessaire de se concentrer sur la sécurité des étapes clés telles que le remboursement des fonds, la détection de la liquidité et la liquidation des dettes. Avant de déployer le contrat, les équipes de projet doivent procéder à un audit de sécurité complet et minutieux afin de prévenir des risques similaires.
Actuellement, les fonds volés restent encore bloqués sur le compte de l'attaquant. La communauté des cryptomonnaies suit de près l'évolution de la situation, espérant que les équipes des projets prendront des mesures supplémentaires pour récupérer les pertes. Cet événement sert également de sonnette d'alarme pour l'ensemble du secteur, rappelant à tous les participants de rester vigilants face aux risques de sécurité des contrats intelligents.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
7
Partager
Commentaire
0/400
MissedTheBoat
· 07-30 23:57
Encore une chute de pigeons.
Voir l'originalRépondre0
TestnetFreeloader
· 07-30 13:31
Encore une opportunité d'être des pigeons.
Voir l'originalRépondre0
DegenDreamer
· 07-29 15:34
Encore des pigeons qui vont pleurer.
Voir l'originalRépondre0
SpeakWithHatOn
· 07-28 07:08
Encore une faille dans le contrat. Les audits ne sont-ils que des accessoires ?
Euler Finance a subi une attaque par Prêts Flash, entraînant une perte de près de 200 millions de dollars, ce qui sonne l'alarme.
Le projet Euler Finance a subi une attaque par prêts flash, entraînant une perte de près de 200 millions de dollars.
Le 13 mars 2023, le projet Euler Finance a subi une attaque par Prêts Flash en raison d'une vulnérabilité dans son contrat intelligent, entraînant une perte d'environ 197 millions de dollars. Cet événement a impliqué 6 types de jetons et est l'une des attaques de plus grande envergure survenant récemment dans le domaine des cryptomonnaies.
L'attaquant a exploité une vulnérabilité clé dans la fonction donateToReserves du contrat Euler Protocol. Contrairement à d'autres fonctions clés, la fonction donateToReserves manque de mécanisme de vérification de liquidité nécessaire, ce qui permet à l'attaquant de manipuler l'état de son propre compte pour le rendre conforme aux conditions de liquidation et ainsi procéder à l'attaque.
Le processus d'attaque est en gros le suivant :
L'attaquant obtient d'abord un prêt flash de 30 millions de DAI sur une plateforme de prêt.
Staker 20 millions DAI dans le protocole Euler pour obtenir environ 19,5 millions eDAI.
Utiliser la fonction de levier de 10x du protocole Euler pour emprunter une grande quantité d'eDAI et de dDAI.
Grâce à une manipulation habile, utilisez la fonction donateToReserves pour faire don d'une grande quantité d'eDAI, puis déclenchez la liquidation.
Pendant le processus de liquidation, l'attaquant a obtenu une grande quantité de dDAI et eDAI.
Enfin, retirez DAI et remboursez le Prêt Flash, en réalisant un bénéfice d'environ 8,87 millions DAI.
Cette attaque a exposé une grave vulnérabilité dans le contrat d'Euler Finance. Normalement, des fonctions clés comme mint appellent checkLiquidity pour vérifier la liquidité, garantissant que le nombre d'eTokens de l'utilisateur est supérieur à celui des dTokens. Cependant, la fonction donateToReserves manque cette étape cruciale, offrant ainsi une opportunité aux attaquants.
Cet événement met à nouveau en évidence l'importance des audits de sécurité des contrats intelligents. Pour les projets de prêt, il est particulièrement nécessaire de se concentrer sur la sécurité des étapes clés telles que le remboursement des fonds, la détection de la liquidité et la liquidation des dettes. Avant de déployer le contrat, les équipes de projet doivent procéder à un audit de sécurité complet et minutieux afin de prévenir des risques similaires.
Actuellement, les fonds volés restent encore bloqués sur le compte de l'attaquant. La communauté des cryptomonnaies suit de près l'évolution de la situation, espérant que les équipes des projets prendront des mesures supplémentaires pour récupérer les pertes. Cet événement sert également de sonnette d'alarme pour l'ensemble du secteur, rappelant à tous les participants de rester vigilants face aux risques de sécurité des contrats intelligents.