تعرضت Euler Finance لهجوم القرض الفوري وخسرت 1.97 مليار دولار

في 13 مارس، تعرض مشروع Euler Finance لهجوم القرض الفوري بسبب ثغرة في العقد الذكي، مما تسبب في خسائر تصل إلى 197 مليون دولار. وقد شمل هذا الهجوم 6 أنواع من الرموز، وهو واحد من أكبر أحداث هجوم DeFi في الفترة الأخيرة.

تحليل عملية الهجوم

قام المهاجم أولاً بالحصول على قرض فوري قدره 30000000 DAI من منصة إقراض معينة، ثم نشر عقد الإقراض وعقد التسوية. بعد ذلك، قام بإيداع 20000000 DAI في بروتوكول Euler للحصول على 19500000 eDAI.

باستخدام رافعة مالية تبلغ 10 أضعاف من بروتوكول أويلر، اقترض المهاجم 1.956 مليون eDAI و 2 مليون dDAI. ثم استخدم 10 مليون DAI المتبقية لسداد جزء من الديون وتدمير الكمية المقابلة من dDAI، ثم اقترض مرة أخرى نفس الكمية من eDAI و dDAI.

الخطوة الأساسية هي استدعاء دالة donateToReserves للتبرع بمبلغ 100 مليون eDAI، ثم من خلال دالة liquidate يتم تصفية للحصول على 310 مليون dDAI و250 مليون eDAI. أخيرًا، يتم سحب 38.9 مليون DAI، وإعادة 30 مليون من القروض السريعة، مما يحقق صافي ربح حوالي 8.87 مليون DAI.

تحليل أسباب الثغرات

توجد ثغرة في دالة donateToReserves في Euler Finance. على عكس الدوال الأخرى مثل mint، تفتقر donateToReserves إلى خطوة checkLiquidity الأساسية. مما يسمح للمستخدمين بتجاوز فحص السيولة وخلق ظروف تصفية بشكل مصطنع والربح من ذلك.

في الظروف العادية، ستقوم checkLiquidity باستدعاء وحدة RiskManager للتحقق مما إذا كانت eToken الخاصة بالمستخدم أكبر من dToken، لضمان صحة الحساب. إن عدم وجود هذه الخطوة يسمح للمهاجمين بالتلاعب بحالة حساباتهم لتحقيق تصفية غير مناسبة.

نصائح الأمان

بالنسبة لمثل هذه الهجمات، يجب على مشاريع DeFi التركيز على الجوانب التالية:

1. إجراء تدقيق أمني شامل قبل إطلاق العقد، مع التركيز بشكل خاص على سداد الأموال، واختبار السيولة، وتصفية الديون، وغيرها من النقاط الرئيسية.

2. إضافة الفحوصات الأمنية اللازمة في جميع الدوال التي قد تؤثر على حالة أصول المستخدم.

3. قم بمراجعة الشيفرة بشكل دوري لاكتشاف وإصلاح الثغرات المحتملة في الوقت المناسب.

4. إنشاء آلية فعالة لإدارة المخاطر، وتحديد حدود الاقتراض ومعايير التسوية المعقولة.

5. النظر في إدخال آليات مثل التوقيع المتعدد لزيادة صعوبة الهجوم.

مع تطور نظام DeFi البيئي، يحتاج مطورو المشاريع إلى إيلاء المزيد من الاهتمام لأمان العقود الذكية، واتخاذ تدابير وقائية شاملة، لتقليل المخاطر المماثلة إلى الحد الأدنى.