Euler Finance a subi une attaque de 197 millions de dollars via des Prêts Flash, la sécurité de la Finance décentralisée tire à nouveau la sonnette d'alarme.
Euler Finance a subi une attaque par prêts flash, avec une perte de près de 200 millions de dollars
Le 13 mars 2023, le projet Euler Finance a subi une importante attaque par Prêts Flash, entraînant une perte d'environ 197 millions de dollars. Cette attaque a impliqué 6 types de jetons différents, et c'est l'un des plus grands événements de sécurité dans le domaine de la DeFi récemment.
Analyse du processus d'attaque
L'attaquant a d'abord obtenu un prêt flash de 30 millions de DAI d'une plateforme de prêt, puis a déployé deux contrats clés : un pour les opérations de prêt et l'autre pour la liquidation.
Les principales étapes de l'attaque sont les suivantes :
Staker 20 millions DAI sur Euler Protocol pour obtenir 19,5 millions eDAI.
Utilisez la fonction de levier 10x du protocole Euler pour emprunter 195,6 millions d'eDAI et 200 millions de dDAI.
Utiliser les 10 millions de DAI restants pour rembourser une partie de la dette et détruire le dDAI correspondant.
Emprunter à nouveau une quantité équivalente d'eDAI et de dDAI.
Donnez 100 millions d'eDAI via la fonction donateToReserves, puis déclenchez la liquidation pour obtenir 310 millions de dDAI et 250 millions d'eDAI.
Enfin, extraction de 38,9 millions de DAI, remboursement du capital du Prêts Flash de 30 millions de DAI, bénéfice net d'environ 8,87 millions de DAI.
Causes de la vulnérabilité
Le problème central de cette attaque réside dans le fait que la fonction donateToReserves d'Euler Finance manque de vérifications de liquidité nécessaires. Contrairement à d'autres fonctions clés (comme mint), donateToReserves n'appelle pas la fonction checkLiquidity pour vérifier l'état des actifs de l'utilisateur.
Dans des conditions normales, checkLiquidity appelle le module RiskManager pour s'assurer que le nombre d'eTokens des utilisateurs est toujours supérieur au nombre de dTokens. Cependant, en raison du fait que la fonction donateToReserves a sauté cette étape, l'attaquant a pu manipuler son propre compte pour entrer dans un état pouvant être liquidé, permettant ainsi de mener une attaque.
Conseils de sécurité
Pour les projets DeFi, en particulier les plateformes impliquant des fonctionnalités de prêt, il est nécessaire de prêter une attention particulière aux points suivants :
Assurez-vous que toutes les fonctions clés contiennent les vérifications de sécurité nécessaires, en particulier la validation de la liquidité.
Effectuer un audit de sécurité complet avant le lancement du contrat, en mettant l'accent sur le remboursement des fonds, la détection de la liquidité et les étapes clés de la liquidation de la dette.
Effectuer régulièrement des revues de code et des analyses de vulnérabilités pour détecter et corriger rapidement les risques potentiels.
Établir un mécanisme de gestion des risques solide et mettre en place des limites de prêt raisonnables et des seuils de liquidation.
Envisagez d'introduire des mesures de sécurité supplémentaires telles que des signatures multiples ou des verrous temporels pour prévenir une fuite rapide de fonds à grande échelle.
Cet événement souligne à nouveau l'importance de la sécurité dans la DeFi. Les équipes de projet doivent continuer à renforcer leur conscience de la sécurité et à adopter des mesures de protection multicouches pour garantir la sécurité des actifs des utilisateurs. En même temps, les utilisateurs doivent également rester vigilants et comprendre les risques potentiels lorsqu'ils participent à des projets DeFi.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
6
Reposter
Partager
Commentaire
0/400
DAOdreamer
· 07-26 01:35
La sécurité avant tout, l'audit est vraiment important.
Voir l'originalRépondre0
StakeHouseDirector
· 07-25 22:05
Un autre projet a été arraché, s'est échappé, s'est échappé.
Voir l'originalRépondre0
GasWaster
· 07-23 02:23
Le hacker malveillant est de nouveau en action.
Voir l'originalRépondre0
MemecoinResearcher
· 07-23 02:19
analyse de sentiment en cours... et c'est parti
Voir l'originalRépondre0
ForkThisDAO
· 07-23 02:14
Encore un qui est mis en ligne sans contrôle de sécurité.
Euler Finance a subi une attaque de 197 millions de dollars via des Prêts Flash, la sécurité de la Finance décentralisée tire à nouveau la sonnette d'alarme.
Euler Finance a subi une attaque par prêts flash, avec une perte de près de 200 millions de dollars
Le 13 mars 2023, le projet Euler Finance a subi une importante attaque par Prêts Flash, entraînant une perte d'environ 197 millions de dollars. Cette attaque a impliqué 6 types de jetons différents, et c'est l'un des plus grands événements de sécurité dans le domaine de la DeFi récemment.
Analyse du processus d'attaque
L'attaquant a d'abord obtenu un prêt flash de 30 millions de DAI d'une plateforme de prêt, puis a déployé deux contrats clés : un pour les opérations de prêt et l'autre pour la liquidation.
Les principales étapes de l'attaque sont les suivantes :
Staker 20 millions DAI sur Euler Protocol pour obtenir 19,5 millions eDAI.
Utilisez la fonction de levier 10x du protocole Euler pour emprunter 195,6 millions d'eDAI et 200 millions de dDAI.
Utiliser les 10 millions de DAI restants pour rembourser une partie de la dette et détruire le dDAI correspondant.
Emprunter à nouveau une quantité équivalente d'eDAI et de dDAI.
Donnez 100 millions d'eDAI via la fonction donateToReserves, puis déclenchez la liquidation pour obtenir 310 millions de dDAI et 250 millions d'eDAI.
Enfin, extraction de 38,9 millions de DAI, remboursement du capital du Prêts Flash de 30 millions de DAI, bénéfice net d'environ 8,87 millions de DAI.
Causes de la vulnérabilité
Le problème central de cette attaque réside dans le fait que la fonction donateToReserves d'Euler Finance manque de vérifications de liquidité nécessaires. Contrairement à d'autres fonctions clés (comme mint), donateToReserves n'appelle pas la fonction checkLiquidity pour vérifier l'état des actifs de l'utilisateur.
Dans des conditions normales, checkLiquidity appelle le module RiskManager pour s'assurer que le nombre d'eTokens des utilisateurs est toujours supérieur au nombre de dTokens. Cependant, en raison du fait que la fonction donateToReserves a sauté cette étape, l'attaquant a pu manipuler son propre compte pour entrer dans un état pouvant être liquidé, permettant ainsi de mener une attaque.
Conseils de sécurité
Pour les projets DeFi, en particulier les plateformes impliquant des fonctionnalités de prêt, il est nécessaire de prêter une attention particulière aux points suivants :
Assurez-vous que toutes les fonctions clés contiennent les vérifications de sécurité nécessaires, en particulier la validation de la liquidité.
Effectuer un audit de sécurité complet avant le lancement du contrat, en mettant l'accent sur le remboursement des fonds, la détection de la liquidité et les étapes clés de la liquidation de la dette.
Effectuer régulièrement des revues de code et des analyses de vulnérabilités pour détecter et corriger rapidement les risques potentiels.
Établir un mécanisme de gestion des risques solide et mettre en place des limites de prêt raisonnables et des seuils de liquidation.
Envisagez d'introduire des mesures de sécurité supplémentaires telles que des signatures multiples ou des verrous temporels pour prévenir une fuite rapide de fonds à grande échelle.
Cet événement souligne à nouveau l'importance de la sécurité dans la DeFi. Les équipes de projet doivent continuer à renforcer leur conscience de la sécurité et à adopter des mesures de protection multicouches pour garantir la sécurité des actifs des utilisateurs. En même temps, les utilisateurs doivent également rester vigilants et comprendre les risques potentiels lorsqu'ils participent à des projets DeFi.