Проект Euler Finance подвергся флеш-атаке займа, убытки составили почти 200 миллионов долларов.
13 марта 2023 года проект Euler Finance пострадал от флеш-атаки займа из-за уязвимости в смарт-контракте, что привело к убыткам примерно в 197 миллионов долларов. Этот инцидент затронул 6 видов токенов и стал одной из крупнейших атак в криптовалютной сфере за последнее время.
Атакующий использовал ключевую уязвимость в функции donateToReserves контракта Euler Protocol. В отличие от других ключевых функций, функция donateToReserves не имеет необходимого механизма проверки ликвидности, что позволяет атакующему манипулировать состоянием своего аккаунта, чтобы оно соответствовало условиям ликвидации, и тем самым осуществить атаку.
Процесс атаки в общем выглядит следующим образом:
Атакующий сначала получает 30 миллионов DAI через Срочные займы с какой-то платформы кредитования.
Заложите 20 миллионов DAI в протокол Euler, чтобы получить около 19.5 миллионов eDAI.
Используя функцию 10-кратного кредитного плеча протокола Euler, займите большое количество eDAI и dDAI.
С помощью хитрых манипуляций использовать функцию donateToReserves для пожертвования большого количества eDAI, а затем инициировать ликвидацию.
В процессе ликвидации злоумышленник получил большое количество dDAI и eDAI.
В конце извлеките DAI и погасите Срочные займы, получив прибыль около 8,87 миллиона DAI.
Эта атака выявила серьезную уязвимость в контракте Euler Finance. В нормальных условиях такие ключевые функции, как mint, вызывают checkLiquidity для проверки ликвидности, чтобы обеспечить, что количество eToken у пользователя превышает количество dToken. Однако функция donateToReserves не содержит этого ключевого шага, предоставляя злоумышленникам возможность воспользоваться этим.
Это событие еще раз подчеркивает важность аудита безопасности смарт-контрактов. Для кредитных проектов особенно необходимо уделять внимание безопасности ключевых этапов, таких как возврат средств, проверка ликвидности и ликвидация задолженности. Перед развертыванием контракта разработчики должны провести всесторонний и тщательный аудит безопасности, чтобы предотвратить подобные риски.
В настоящее время украденные средства все еще находятся на счету атакующего. Сообщество криптовалют внимательно следит за развитием событий и ожидает от команды проекта дальнейших мер по восстановлению убытков. Этот инцидент также прозвучал как тревожный сигнал для всей отрасли, напоминая всем участникам о необходимости постоянно быть настороже по поводу рисков безопасности смарт-контрактов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
7
Поделиться
комментарий
0/400
MissedTheBoat
· 07-30 23:57
Снова уронили на землю неудачников
Посмотреть ОригиналОтветить0
TestnetFreeloader
· 07-30 13:31
Еще одна возможность стать неудачниками
Посмотреть ОригиналОтветить0
DegenDreamer
· 07-29 15:34
Снова неудачники собираются плакать.
Посмотреть ОригиналОтветить0
SpeakWithHatOn
· 07-28 07:08
Снова уязвимость в контракте. Аудит — это просто формальность?
Euler Finance遭флеш-атака займа 近2亿美元损失敲响警钟
Проект Euler Finance подвергся флеш-атаке займа, убытки составили почти 200 миллионов долларов.
13 марта 2023 года проект Euler Finance пострадал от флеш-атаки займа из-за уязвимости в смарт-контракте, что привело к убыткам примерно в 197 миллионов долларов. Этот инцидент затронул 6 видов токенов и стал одной из крупнейших атак в криптовалютной сфере за последнее время.
Атакующий использовал ключевую уязвимость в функции donateToReserves контракта Euler Protocol. В отличие от других ключевых функций, функция donateToReserves не имеет необходимого механизма проверки ликвидности, что позволяет атакующему манипулировать состоянием своего аккаунта, чтобы оно соответствовало условиям ликвидации, и тем самым осуществить атаку.
Процесс атаки в общем выглядит следующим образом:
Атакующий сначала получает 30 миллионов DAI через Срочные займы с какой-то платформы кредитования.
Заложите 20 миллионов DAI в протокол Euler, чтобы получить около 19.5 миллионов eDAI.
Используя функцию 10-кратного кредитного плеча протокола Euler, займите большое количество eDAI и dDAI.
С помощью хитрых манипуляций использовать функцию donateToReserves для пожертвования большого количества eDAI, а затем инициировать ликвидацию.
В процессе ликвидации злоумышленник получил большое количество dDAI и eDAI.
В конце извлеките DAI и погасите Срочные займы, получив прибыль около 8,87 миллиона DAI.
Эта атака выявила серьезную уязвимость в контракте Euler Finance. В нормальных условиях такие ключевые функции, как mint, вызывают checkLiquidity для проверки ликвидности, чтобы обеспечить, что количество eToken у пользователя превышает количество dToken. Однако функция donateToReserves не содержит этого ключевого шага, предоставляя злоумышленникам возможность воспользоваться этим.
Это событие еще раз подчеркивает важность аудита безопасности смарт-контрактов. Для кредитных проектов особенно необходимо уделять внимание безопасности ключевых этапов, таких как возврат средств, проверка ликвидности и ликвидация задолженности. Перед развертыванием контракта разработчики должны провести всесторонний и тщательный аудит безопасности, чтобы предотвратить подобные риски.
В настоящее время украденные средства все еще находятся на счету атакующего. Сообщество криптовалют внимательно следит за развитием событий и ожидает от команды проекта дальнейших мер по восстановлению убытков. Этот инцидент также прозвучал как тревожный сигнал для всей отрасли, напоминая всем участникам о необходимости постоянно быть настороже по поводу рисков безопасности смарт-контрактов.