تعرضت Euler Finance لهجوم القرض الفوري، بخسائر تصل إلى 1.97 مليار دولار

في 13 مارس 2023، تعرض مشروع Euler Finance لهجوم قرض فوري بسبب ثغرة في العقد، مما أدى إلى خسائر كبيرة. استغل المهاجمون ثغرة في وظيفة donateToReserves في العقد التي تفتقر إلى فحص السيولة، من خلال تنفيذ العديد من العمليات للحصول على كميات كبيرة من الأموال. تتعلق هذه الحادثة بـ 6 أنواع من الرموز، وبلغ إجمالي الخسائر 197 مليون دولار.

تحليل عملية الهجوم

1. قام المهاجم أولاً باقتراض 30 مليون DAI من منصة إقراض معينة باستخدام القروض السريعة، ونشر عقدين: عقد الإقراض وعقد التسوية.

2. قام المهاجم بإيداع 20 مليون DAI في عقد بروتوكول Euler، وحصل على 195000 eDAI.

3. من خلال الاستفادة من وظيفة الرفع المالي بمقدار 10 مرات في بروتوكول Euler، قام المهاجم بإقراض 1,956,000 eDAI و 2,000,000 dDAI.

4. استخدم المهاجمون الـ 10 ملايين DAI المتبقية لسداد جزء من الديون وتدمير الـ dDAI المقابل، ثم اقترضوا مرة أخرى 1.956 مليون eDAI و 2 مليون dDAI.

5. الخطوات الرئيسية: يقوم المهاجم باستدعاء دالة donateToReserves، ويتبرع بمبلغ 1 مليون eDAI (أي 10 أضعاف مبلغ السداد). بعد ذلك، يقوم المهاجم باستدعاء دالة liquidate للتصفية، ويحصل على 3.1 مليون dDAI و 2.5 مليون eDAI.

6. أخيرًا، قام المهاجم بسحب 389,000 DAI، وأعاد قرضًا فوريًا بقيمة 30,000,000 DAI، وحقق في النهاية ربحًا قدره 8,870,000 DAI.

تحليل أسباب الثغرات

تكمن المشكلة الأساسية في هذا الهجوم في عدم وجود فحص السيولة الضروري في دالة donateToReserves لعقد Euler Finance. بالمقارنة مع دالة mint، لم تنفذ دالة donateToReserves خطوة checkLiquidity، مما سمح للمهاجمين بتجاوز فحص السيولة الطبيعي.

في الظروف العادية، يقوم دالة checkLiquidity باستدعاء وحدة RiskManager، لضمان أن عدد eToken للمستخدم أكبر من عدد dToken. ومع ذلك، بسبب نقص هذه الخطوة الحاسمة في دالة donateToReserves، تمكن المهاجم من استغلال هذه الثغرة، مما جعله في حالة يمكن تصفيتها، ثم أتم عملية التصفية.

نصائح الأمان

نوصي مشاريع DeFi بشأن هذه الأنواع من الهجمات:

1. إجراء تدقيق أمني شامل قبل إطلاق العقد لضمان أمان العقد.

2. بالنسبة لمشاريع الإقراض، يجب الانتباه بشكل خاص إلى نقاط رئيسية مثل سداد الأموال، واختبار السيولة، وتسوية الديون.

3. يجب تنفيذ فحوصات صارمة للسيولة في كل دالة قد تؤثر على حالة أموال المستخدم.

4. إجراء مراجعات وتحديثات دورية على الشيفرة، وإصلاح الثغرات المكتشفة في الوقت المناسب.

5. النظر في إدخال آليات التوقيع المتعدد أو قفل الوقت كإجراءات أمان إضافية.

تذكرنا هذه الحادثة مرة أخرى أن أمان العقود لا يزال أمرًا بالغ الأهمية في مجال DeFi المتطور بسرعة. يحتاج مطورو المشاريع إلى تعزيز الوعي الأمني باستمرار واتخاذ تدابير حماية متعددة لحماية أصول المستخدمين.