Saldırganlar, Euler Protocol sözleşmesindeki donateToReserves fonksiyonundaki kritik bir açığı kullandı. Diğer kritik fonksiyonlardan farklı olarak, donateToReserves fonksiyonu gerekli likidite kontrol mekanizmasından yoksundur; bu da saldırganların kendi hesap durumlarını manipüle ederek tasfiye koşullarını sağlamalarına ve saldırıyı gerçekleştirmelerine olanak tanır.
Saldırı süreci kabaca şöyle:
Saldırgan önce bir borç verme platformundan 30 milyon DAI'lik flaş kredi alır.
20 milyon DAI'yi Euler Protocol'e teminat olarak yatırın, yaklaşık 19.5 milyon eDAI elde edin.
Euler Protocol'un 10 kat kaldıraç özelliğini kullanarak büyük miktarda eDAI ve dDAI ödünç alın.
Kurnaz bir şekilde, donateToReserves fonksiyonunu kullanarak büyük miktarda eDAI bağışında bulunun ve ardından tasfiyeyi tetikleyin.
Likidasyon sürecinde, saldırgan büyük miktarda dDAI ve eDAI elde etti.
Son olarak DAI'yi çekip Flaş Kredileri iade ederek yaklaşık 8,87 milyon DAI kar elde ettim.
Bu saldırı, Euler Finance sözleşmesindeki ciddi bir açığı ortaya çıkardı. Normalde, mint gibi kritik fonksiyonlar, kullanıcıların eToken miktarının dToken'dan büyük olduğunu doğrulamak için checkLiquidity'yi çağırır. Ancak, donateToReserves fonksiyonu bu kritik adımı atlıyor, bu da saldırganlara bir fırsat sunuyor.
Bu olay, akıllı sözleşmelerin güvenlik denetiminin önemini bir kez daha vurgulamaktadır. Borç verme projeleri için, özellikle fon geri ödemesi, likidite tespiti ve borç tasfiyesi gibi kritik aşamaların güvenliğine dikkat edilmesi gerekmektedir. Proje sahipleri, sözleşmeyi dağıtmadan önce kapsamlı ve detaylı bir güvenlik denetimi yapmalıdır, böylece benzer risklerin önüne geçilebilir.
Şu anda, çalınan fonlar hâlâ saldırganın hesabında bekliyor. Kripto para topluluğu, durumu yakından takip ediyor ve proje ekibinin kayıpları geri kazanmak için daha fazla önlem almasını bekliyor. Bu olay, tüm sektöre bir uyarı niteliğinde olup, tüm katılımcılara akıllı sözleşmelerin güvenlik risklerine karşı her zaman tetikte olmalarını hatırlatıyor.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Likes
Reward
16
7
Share
Comment
0/400
MissedTheBoat
· 07-30 23:57
Yine bir yere enayiler düştü.
View OriginalReply0
TestnetFreeloader
· 07-30 13:31
Bir başka enayiler olma fırsatı
View OriginalReply0
DegenDreamer
· 07-29 15:34
Yine enayiler ağlamak üzere.
View OriginalReply0
SpeakWithHatOn
· 07-28 07:08
Yine bir sözleşme açığı mı? Denetimler sadece gösteriş mi?
Euler Finance, flaş kredi saldırısı nedeniyle yaklaşık 200 milyon dolar kayıpla alarma geçti.
Euler Finance projesi, flaş kredi saldırısı sonucunda yaklaşık 200 milyon dolar kaybetti.
2023年3月13日,Euler Finance项目因智能合约漏洞遭受 flaş kredi̇ saldirisi,导致约1.97亿美元的损失。这次事件涉及6种代币,是近期加密货币领域发生的最大规模攻击之一。
Saldırganlar, Euler Protocol sözleşmesindeki donateToReserves fonksiyonundaki kritik bir açığı kullandı. Diğer kritik fonksiyonlardan farklı olarak, donateToReserves fonksiyonu gerekli likidite kontrol mekanizmasından yoksundur; bu da saldırganların kendi hesap durumlarını manipüle ederek tasfiye koşullarını sağlamalarına ve saldırıyı gerçekleştirmelerine olanak tanır.
Saldırı süreci kabaca şöyle:
Saldırgan önce bir borç verme platformundan 30 milyon DAI'lik flaş kredi alır.
20 milyon DAI'yi Euler Protocol'e teminat olarak yatırın, yaklaşık 19.5 milyon eDAI elde edin.
Euler Protocol'un 10 kat kaldıraç özelliğini kullanarak büyük miktarda eDAI ve dDAI ödünç alın.
Kurnaz bir şekilde, donateToReserves fonksiyonunu kullanarak büyük miktarda eDAI bağışında bulunun ve ardından tasfiyeyi tetikleyin.
Likidasyon sürecinde, saldırgan büyük miktarda dDAI ve eDAI elde etti.
Son olarak DAI'yi çekip Flaş Kredileri iade ederek yaklaşık 8,87 milyon DAI kar elde ettim.
Bu saldırı, Euler Finance sözleşmesindeki ciddi bir açığı ortaya çıkardı. Normalde, mint gibi kritik fonksiyonlar, kullanıcıların eToken miktarının dToken'dan büyük olduğunu doğrulamak için checkLiquidity'yi çağırır. Ancak, donateToReserves fonksiyonu bu kritik adımı atlıyor, bu da saldırganlara bir fırsat sunuyor.
Bu olay, akıllı sözleşmelerin güvenlik denetiminin önemini bir kez daha vurgulamaktadır. Borç verme projeleri için, özellikle fon geri ödemesi, likidite tespiti ve borç tasfiyesi gibi kritik aşamaların güvenliğine dikkat edilmesi gerekmektedir. Proje sahipleri, sözleşmeyi dağıtmadan önce kapsamlı ve detaylı bir güvenlik denetimi yapmalıdır, böylece benzer risklerin önüne geçilebilir.
Şu anda, çalınan fonlar hâlâ saldırganın hesabında bekliyor. Kripto para topluluğu, durumu yakından takip ediyor ve proje ekibinin kayıpları geri kazanmak için daha fazla önlem almasını bekliyor. Bu olay, tüm sektöre bir uyarı niteliğinde olup, tüm katılımcılara akıllı sözleşmelerin güvenlik risklerine karşı her zaman tetikte olmalarını hatırlatıyor.