Проект Euler Finance зазнав флеш-атаки, збитки склали майже 200 мільйонів доларів
13 березня 2023 року проект Euler Finance зазнав флеш-атаки через вразливість смарт-контракту, що призвело до втрат приблизно в 197 мільйонів доларів. Ця подія стосувалася 6 видів токенів і є однією з найбільших атак, що сталися в криптовалютній сфері нещодавно.
Зловмисник скористався критичним вразливістю у функції donateToReserves контракту Euler Protocol. На відміну від інших критичних функцій, функція donateToReserves не має необхідного механізму перевірки ліквідності, що дозволило зловмиснику маніпулювати станом свого рахунку, щоб він відповідав умовам ліквідації, тим самим реалізуючи атаку.
Процес атаки в цілому виглядає наступним чином:
Зловмисник спочатку отримує термінові позики на 30 мільйонів DAI з певної кредитної платформи.
Поставити 20 мільйонів DAI в Euler Protocol, отримати близько 19,5 мільйонів eDAI.
Використовуючи функцію 10-кратного кредитного плеча протоколу Euler, позичити велику кількість eDAI та dDAI.
Здійснивши майстерні маніпуляції, використайте функцію donateToReserves для внесення великої кількості eDAI, а потім спровокуйте ліквідацію.
Під час ліквідації зловмисник отримав велику кількість dDAI та eDAI.
Нарешті витягніть DAI та поверніть Термінові позики, отримавши прибуток близько 8870000 DAI.
Ця атака виявила серйозну уразливість у контракті Euler Finance. У нормальних умовах такі ключові функції, як mint, викликають checkLiquidity для перевірки ліквідності, щоб забезпечити, що кількість eToken у користувача більше ніж dToken. Проте функція donateToReserves не має цього ключового етапу, що надало можливість для атаки.
Ця подія ще раз підкреслює важливість безпеки аудиту смарт-контрактів. Для проектів кредитування особливо важливо звертати увагу на безпеку ключових етапів, таких як повернення коштів, виявлення ліквідності та ліквідація боргів. Команда проекту повинна провести всебічний та детальний аудит безпеки перед розгортанням контракту, щоб запобігти подібним ризикам.
Наразі вкрадені кошти все ще залишаються на рахунку нападника. Криптовалютна спільнота уважно стежить за розвитком подій, сподіваючись, що розробники вжити подальших заходів для відшкодування збитків. Ця подія також стала сигналом тривоги для всієї галузі, нагадуючи всім учасникам бути завжди напоготові щодо ризиків безпеки смарт-контрактів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
7
Поділіться
Прокоментувати
0/400
MissedTheBoat
· 07-30 23:57
знову впали на землю невдахи
Переглянути оригіналвідповісти на0
TestnetFreeloader
· 07-30 13:31
Ще одна можливість стати невдахою
Переглянути оригіналвідповісти на0
DegenDreamer
· 07-29 15:34
Знову невдахи будуть плакати.
Переглянути оригіналвідповісти на0
SpeakWithHatOn
· 07-28 07:08
Знову вразливість контракту. Аудит - це лише формальність?
Euler Finance зазнав флеш-атаки, що спричинила втрати в розмірі близько 200 мільйонів доларів, що звучить як тривожний сигнал.
Проект Euler Finance зазнав флеш-атаки, збитки склали майже 200 мільйонів доларів
13 березня 2023 року проект Euler Finance зазнав флеш-атаки через вразливість смарт-контракту, що призвело до втрат приблизно в 197 мільйонів доларів. Ця подія стосувалася 6 видів токенів і є однією з найбільших атак, що сталися в криптовалютній сфері нещодавно.
Зловмисник скористався критичним вразливістю у функції donateToReserves контракту Euler Protocol. На відміну від інших критичних функцій, функція donateToReserves не має необхідного механізму перевірки ліквідності, що дозволило зловмиснику маніпулювати станом свого рахунку, щоб він відповідав умовам ліквідації, тим самим реалізуючи атаку.
Процес атаки в цілому виглядає наступним чином:
Зловмисник спочатку отримує термінові позики на 30 мільйонів DAI з певної кредитної платформи.
Поставити 20 мільйонів DAI в Euler Protocol, отримати близько 19,5 мільйонів eDAI.
Використовуючи функцію 10-кратного кредитного плеча протоколу Euler, позичити велику кількість eDAI та dDAI.
Здійснивши майстерні маніпуляції, використайте функцію donateToReserves для внесення великої кількості eDAI, а потім спровокуйте ліквідацію.
Під час ліквідації зловмисник отримав велику кількість dDAI та eDAI.
Нарешті витягніть DAI та поверніть Термінові позики, отримавши прибуток близько 8870000 DAI.
Ця атака виявила серйозну уразливість у контракті Euler Finance. У нормальних умовах такі ключові функції, як mint, викликають checkLiquidity для перевірки ліквідності, щоб забезпечити, що кількість eToken у користувача більше ніж dToken. Проте функція donateToReserves не має цього ключового етапу, що надало можливість для атаки.
Ця подія ще раз підкреслює важливість безпеки аудиту смарт-контрактів. Для проектів кредитування особливо важливо звертати увагу на безпеку ключових етапів, таких як повернення коштів, виявлення ліквідності та ліквідація боргів. Команда проекту повинна провести всебічний та детальний аудит безпеки перед розгортанням контракту, щоб запобігти подібним ризикам.
Наразі вкрадені кошти все ще залишаються на рахунку нападника. Криптовалютна спільнота уважно стежить за розвитком подій, сподіваючись, що розробники вжити подальших заходів для відшкодування збитків. Ця подія також стала сигналом тривоги для всієї галузі, нагадуючи всім учасникам бути завжди напоготові щодо ризиків безпеки смарт-контрактів.