Euler Finance mengalami kerugian sebesar 1,97 juta dolar akibat serangan pinjaman flash

Pada 13 Maret, proyek Euler Finance mengalami serangan flash loan karena kerentanan kontrak pintar, yang mengakibatkan kerugian mencapai 197 juta dolar AS. Serangan ini melibatkan 6 jenis token dan merupakan salah satu peristiwa serangan DeFi terbesar baru-baru ini.

Analisis Proses Serangan

Penyerang pertama-tama mendapatkan Pinjaman Flash sebesar 30 juta DAI dari suatu platform pinjaman, kemudian menerapkan kontrak pinjaman dan kontrak likuidasi. Selanjutnya, mereka mengunci 20 juta DAI ke dalam Euler Protocol untuk mendapatkan 19,5 juta eDAI.

Dengan menggunakan leverage 10x dari Protokol Euler, penyerang meminjam 195,6 juta eDAI dan 200 juta dDAI. Kemudian menggunakan sisa 10 juta DAI untuk melunasi sebagian utang dan menghancurkan dDAI yang sesuai, kemudian meminjam jumlah yang sama dari eDAI dan dDAI lagi.

Langkah kunci adalah memanggil fungsi donateToReserves untuk menyumbang 100 juta eDAI, kemudian melaksanakan fungsi liquidate untuk mendapatkan 310 juta dDAI dan 250 juta eDAI. Terakhir, menarik 38,9 juta DAI, mengembalikan 30 juta Pinjaman Flash, dengan laba bersih sekitar 8,87 juta DAI.

Analisis Penyebab Kerentanan

Vulnerability ada di fungsi donateToReserves dari Euler Finance. Berbeda dengan fungsi lain seperti mint, donateToReserves tidak memiliki langkah checkLiquidity yang penting. Ini memungkinkan pengguna untuk menghindari pemeriksaan likuiditas, secara artifisial menciptakan kondisi likuidasi dan mendapatkan keuntungan dari situ.

Dalam keadaan normal, checkLiquidity akan memanggil modul RiskManager untuk memeriksa apakah eToken pengguna lebih besar dari dToken, untuk memastikan kesehatan akun. Menghilangkan langkah ini memungkinkan penyerang untuk memanipulasi status akun mereka sendiri, sehingga melakukan likuidasi yang tidak semestinya.

Saran Keamanan

Untuk serangan semacam ini, proyek DeFi harus fokus pada beberapa aspek berikut:

1. Lakukan audit keamanan menyeluruh sebelum kontrak diluncurkan, dengan perhatian khusus pada pengembalian dana, deteksi likuiditas, dan pembersihan utang.

2. Tambahkan pemeriksaan keamanan yang diperlukan di semua fungsi yang mungkin mempengaruhi status aset pengguna.

3. Secara berkala melakukan review kode untuk segera menemukan dan memperbaiki potensi kerentanan.

4. Membangun mekanisme manajemen risiko yang efektif, menetapkan batas pinjaman yang wajar dan ambang likuidasi.

5. Pertimbangkan untuk memperkenalkan mekanisme seperti tanda tangan ganda untuk meningkatkan kesulitan serangan.

Seiring dengan perkembangan ekosistem DeFi yang terus menerus, pihak proyek perlu lebih memperhatikan keamanan kontrak pintar, mengambil langkah-langkah perlindungan yang komprehensif, dan meminimalkan risiko serupa.