O projeto Euler Finance sofreu um ataque de empréstimo flash, com perdas de quase 200 milhões de dólares.
No dia 13 de março de 2023, o projeto Euler Finance sofreu um ataque de empréstimo flash devido a uma vulnerabilidade em seu contrato inteligente, resultando em uma perda de cerca de 197 milhões de dólares. Este incidente envolveu 6 tipos de tokens e é um dos maiores ataques ocorridos recentemente no setor de criptomoedas.
Os atacantes exploraram uma vulnerabilidade crítica na função donateToReserves do contrato Euler Protocol. Ao contrário de outras funções críticas, a função donateToReserves carece de um mecanismo de verificação de liquidez necessário, o que permite que os atacantes manipulem o estado da sua conta para que atenda às condições de liquidação, permitindo assim a execução do ataque.
O processo de ataque é aproximadamente o seguinte:
O atacante primeiro obtém um empréstimo flash de 30 milhões de DAI de uma plataforma de empréstimos.
Colocar 20 milhões de DAI em staking no Euler Protocol, obtendo cerca de 19,5 milhões de eDAI.
Utilize a funcionalidade de alavancagem de 10x do Euler Protocol para emprestar grandes quantidades de eDAI e dDAI.
Através de uma manobra astuta, usar a função donateToReserves para doar uma grande quantidade de eDAI, e depois acionar a liquidação.
Durante o processo de liquidação, o atacante obteve uma grande quantidade de dDAI e eDAI.
Por fim, retire DAI e devolva o Empréstimos Flash, obtendo um lucro de cerca de 8.87 milhões de DAI.
Este ataque expôs uma grave vulnerabilidade no contrato da Euler Finance. Normalmente, funções críticas como mint chamariam checkLiquidity para verificar a liquidez, garantindo que a quantidade de eToken do usuário seja maior que a de dToken. No entanto, a função donateToReserves carece deste passo crítico, oferecendo uma oportunidade para os atacantes.
Este evento destaca novamente a importância da auditoria de segurança de contratos inteligentes. Para projetos de empréstimos, é especialmente necessário prestar atenção à segurança de etapas críticas, como reembolso de fundos, detecção de liquidez e liquidação de dívidas. Os responsáveis pelo projeto devem realizar uma auditoria de segurança abrangente e detalhada antes de implantar o contrato, a fim de prevenir riscos semelhantes.
Atualmente, os fundos roubados ainda estão retidos na conta do atacante. A comunidade de criptomoedas está atenta ao desenvolvimento da situação, esperando que a equipe do projeto tome mais medidas para recuperar as perdas. Este evento também serve como um aviso para toda a indústria, lembrando todos os participantes a estarem sempre atentos aos riscos de segurança dos contratos inteligentes.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
16 gostos
Recompensa
16
7
Partilhar
Comentar
0/400
MissedTheBoat
· 07-30 23:57
又摔一地idiotas
Ver originalResponder0
TestnetFreeloader
· 07-30 13:31
又一个当idiotas的机会
Ver originalResponder0
DegenDreamer
· 07-29 15:34
又有idiotas要哭晕了
Ver originalResponder0
SpeakWithHatOn
· 07-28 07:08
Mais uma vulnerabilidade de contrato. As auditorias são apenas uma fachada?
Ver originalResponder0
SnapshotDayLaborer
· 07-28 06:47
Saiu mais duzentos milhões.
Ver originalResponder0
ImpermanentLossFan
· 07-28 06:47
A segurança dos contratos inteligentes é uma piada.
Euler Finance sofreu um ataque de empréstimo flash, resultando em perdas de quase 200 milhões de dólares, acendendo um alerta.
O projeto Euler Finance sofreu um ataque de empréstimo flash, com perdas de quase 200 milhões de dólares.
No dia 13 de março de 2023, o projeto Euler Finance sofreu um ataque de empréstimo flash devido a uma vulnerabilidade em seu contrato inteligente, resultando em uma perda de cerca de 197 milhões de dólares. Este incidente envolveu 6 tipos de tokens e é um dos maiores ataques ocorridos recentemente no setor de criptomoedas.
Os atacantes exploraram uma vulnerabilidade crítica na função donateToReserves do contrato Euler Protocol. Ao contrário de outras funções críticas, a função donateToReserves carece de um mecanismo de verificação de liquidez necessário, o que permite que os atacantes manipulem o estado da sua conta para que atenda às condições de liquidação, permitindo assim a execução do ataque.
O processo de ataque é aproximadamente o seguinte:
O atacante primeiro obtém um empréstimo flash de 30 milhões de DAI de uma plataforma de empréstimos.
Colocar 20 milhões de DAI em staking no Euler Protocol, obtendo cerca de 19,5 milhões de eDAI.
Utilize a funcionalidade de alavancagem de 10x do Euler Protocol para emprestar grandes quantidades de eDAI e dDAI.
Através de uma manobra astuta, usar a função donateToReserves para doar uma grande quantidade de eDAI, e depois acionar a liquidação.
Durante o processo de liquidação, o atacante obteve uma grande quantidade de dDAI e eDAI.
Por fim, retire DAI e devolva o Empréstimos Flash, obtendo um lucro de cerca de 8.87 milhões de DAI.
Este ataque expôs uma grave vulnerabilidade no contrato da Euler Finance. Normalmente, funções críticas como mint chamariam checkLiquidity para verificar a liquidez, garantindo que a quantidade de eToken do usuário seja maior que a de dToken. No entanto, a função donateToReserves carece deste passo crítico, oferecendo uma oportunidade para os atacantes.
Este evento destaca novamente a importância da auditoria de segurança de contratos inteligentes. Para projetos de empréstimos, é especialmente necessário prestar atenção à segurança de etapas críticas, como reembolso de fundos, detecção de liquidez e liquidação de dívidas. Os responsáveis pelo projeto devem realizar uma auditoria de segurança abrangente e detalhada antes de implantar o contrato, a fim de prevenir riscos semelhantes.
Atualmente, os fundos roubados ainda estão retidos na conta do atacante. A comunidade de criptomoedas está atenta ao desenvolvimento da situação, esperando que a equipe do projeto tome mais medidas para recuperar as perdas. Este evento também serve como um aviso para toda a indústria, lembrando todos os participantes a estarem sempre atentos aos riscos de segurança dos contratos inteligentes.