Euler Finance sufrió un ataque de flash loan con pérdidas de 197 millones de dólares

El 13 de marzo, el proyecto Euler Finance sufrió un ataque de flash loan debido a una vulnerabilidad en su contrato inteligente, causando pérdidas de hasta 197 millones de dólares. Este ataque involucró 6 tipos de tokens y es uno de los mayores incidentes de ataque DeFi en tiempos recientes.

Análisis del proceso de ataque

El atacante primero obtiene un préstamo relámpago de 30 millones de DAI de una plataforma de préstamos, luego despliega un contrato de préstamo y un contrato de liquidación. A continuación, apuesta 20 millones de DAI en Euler Protocol para obtener 19.5 millones de eDAI.

Utilizando un apalancamiento de 10 veces del Protocolo Euler, el atacante tomó prestados 195.6 millones de eDAI y 200 millones de dDAI. Luego, devolvió parte de la deuda con los 10 millones de DAI restantes y destruyó la cantidad correspondiente de dDAI, volviendo a pedir prestado la misma cantidad de eDAI y dDAI.

El paso clave es llamar a la función donateToReserves para donar 100 millones de eDAI, y luego liquidar a través de la función liquidate para obtener 310 millones de dDAI y 250 millones de eDAI. Finalmente, se extraen 38.9 millones de DAI, se devuelven 30 millones de Flash Loans, y la ganancia neta es de aproximadamente 8.87 millones de DAI.

Análisis de la causa de la vulnerabilidad

La vulnerabilidad existe en la función donateToReserves de Euler Finance. A diferencia de otras funciones como mint, donateToReserves carece de un paso crucial de checkLiquidity. Esto permite a los usuarios eludir la verificación de liquidez, crear condiciones de liquidación artificialmente y obtener beneficios de ello.

En condiciones normales, checkLiquidity llamará al módulo RiskManager para verificar si el eToken del usuario es mayor que el dToken, a fin de garantizar la salud de la cuenta. La falta de este paso permite a los atacantes manipular el estado de su propia cuenta y lograr liquidaciones indebidas.

Consejos de seguridad

Para este tipo de ataques, los proyectos DeFi deben centrarse en los siguientes aspectos:

1. Realizar una auditoría de seguridad completa antes del lanzamiento del contrato, prestando especial atención a aspectos clave como el reembolso de fondos, la detección de liquidez y la liquidación de deudas.

2. Agregar las verificaciones de seguridad necesarias en todas las funciones que puedan afectar el estado de los activos del usuario.

3. Realizar revisiones de código periódicamente para detectar y corregir posibles vulnerabilidades a tiempo.

4. Establecer un mecanismo de gestión de riesgos efectivo, establecer límites de préstamo razonables y umbrales de liquidación.

5. Considerar la introducción de mecanismos como la firma múltiple para aumentar la dificultad de los ataques.

Con el continuo desarrollo del ecosistema DeFi, los equipos de proyectos deben prestar más atención a la seguridad de los contratos inteligentes, adoptar medidas de protección integrales y minimizar al máximo los riesgos similares.