- Тема
111k Популярность
23k Популярность
6k Популярность
29k Популярность
16k Популярность
23k Популярность
14k Популярность
3k Популярность
13k Популярность
154k Популярность
- Закрепить
111k Популярность
23k Популярность
6k Популярность
29k Популярность
16k Популярность
23k Популярность
14k Популярность
3k Популярность
13k Популярность
154k Популярность
Euler Finance подвергся флеш-атака займа на сумму 197 миллионов долларов, что снова вызывает тревогу по поводу безопасности Децентрализованных финансов.
Euler Finance понесла убытки в размере 197 миллионов долларов из-за флеш-атаки займа
13 марта проект Euler Finance подвергся флеш-атака займа из-за уязвимости в смарт-контракте, что привело к убыткам в размере до 197 миллионов долларов. Эта атака затронула 6 видов токенов и является одним из крупнейших инцидентов DeFi в последнее время.
Анализ процесса атаки
Атакующий сначала получает срочные займы на сумму 30 миллионов DAI с какой-то платформы кредитования, затем развертывает кредитный и ликвидационный контракты. После этого он ставит 20 миллионов DAI в залог на протоколе Euler, чтобы получить 19,5 миллиона eDAI.
Используя 10-кратный рычаг протокола Euler, злоумышленник занял 195.6 миллионов eDAI и 200 миллионов dDAI. Затем он погасил часть долга остатком в 10 миллионов DAI и уничтожил соответствующее количество dDAI, снова заняв такое же количество eDAI и dDAI.
Ключевым шагом является вызов функции donateToReserves для пожертвования 100 миллионов eDAI, затем через функцию liquidate производится ликвидация, в результате которой получается 310 миллионов dDAI и 250 миллионов eDAI. В конце извлекается 38,9 миллионов DAI, возвращается 30 миллионов Срочные займы, чистая прибыль составляет примерно 8,87 миллионов DAI.
Анализ причин уязвимости
Уязвимость существует в функции donateToReserves Euler Finance. В отличие от других функций, таких как mint, в donateToReserves отсутствует ключевой шаг проверки ликвидности. Это позволяет пользователям обойти проверку ликвидности, искусственно создать условия для ликвидации и извлечь из этого прибыль.
В нормальных условиях checkLiquidity будет вызывать модуль RiskManager для проверки, превышает ли eToken пользователя dToken, чтобы обеспечить здоровье счета. Отсутствие этого шага позволяет злоумышленникам манипулировать состоянием своих счетов, приводя к неправомерной ликвидации.
Советы по безопасности
В связи с такими атаками проекты DeFi должны сосредоточить внимание на следующих аспектах:
Провести全面审计 безопасности перед запуском контракта, особенно уделяя внимание ключевым этапам, таким как погашение средств, проверка ликвидности и ликвидация долгов.
Добавьте необходимые проверки безопасности во все функции, которые могут повлиять на состояние активов пользователей.
Регулярно проводить код-ревью, чтобы своевременно обнаруживать и исправлять потенциальные уязвимости.
Создание эффективного механизма управления рисками, установка разумных лимитов заимствования и порогов ликвидации.
Рассмотрите возможность введения механизмов многофакторной подписи и других, чтобы увеличить сложность атак.
С развитием экосистемы DeFi, проектам необходимо уделять больше внимания безопасности смарт-контрактов и принимать всесторонние меры защиты, чтобы максимально снизить подобные риски.