Euler Finance, flaş kredi̇ saldirisi sonucu 1.97 milyon dolar kaybetti.

13 Mart'ta, Euler Finance projesi akıllı sözleşme açığı nedeniyle flaş kredi saldırısına uğradı ve 197 milyon dolara kadar kayba neden oldu. Bu saldırı 6 farklı tokeni kapsıyor ve son zamanların en büyük DeFi saldırı olaylarından biri.

Saldırı Süreci Analizi

Saldırgan önce bir borç verme platformundan 30 milyon DAI'lik Flaş Krediler alır, ardından borç verme sözleşmesini ve tasfiye sözleşmesini dağıtır. Sonra 20 milyon DAI'yi Euler Protokolü'ne teminat olarak yatırarak 19.5 milyon eDAI elde eder.

Euler Protocol'un 10 kat kaldıraç kullanarak, saldırgan 1.956 milyon eDAI ve 2 milyon dDAI borç aldı. Ardından, kalan 10 milyon DAI ile kısmı borcunu geri ödeyip ilgili dDAI'yi imha etti ve tekrar eşit miktarda eDAI ve dDAI borç aldı.

Ana adım, donateToReserves fonksiyonunu çağırarak 100 milyon eDAI bağışlamak, ardından liquidate fonksiyonu ile 310 milyon dDAI ve 250 milyon eDAI elde etmektir. Son olarak, 3890 milyon DAI çekilir, 3000 milyon flaş kredi geri ödenir ve net kar yaklaşık 887 milyon DAI olur.

Açık Sebep Analizi

Açık, Euler Finance'in donateToReserves fonksiyonunda bulunmaktadır. mint gibi diğer fonksiyonların aksine, donateToReserves kritik checkLiquidity adımını içermemektedir. Bu, kullanıcıların likidite kontrolünü atlamasına, yapay sıfırlama koşulları yaratmasına ve bundan kazanç sağlamasına yol açmaktadır.

Normal şartlar altında, checkLiquidity RiskManager modülünü çağırarak kullanıcının eToken'ının dToken'dan büyük olup olmadığını kontrol eder, böylece hesabın sağlığını garanti altına alır. Bu adımın eksikliği, saldırganların kendi hesap durumlarını manipüle ederek haksız tasfiyeleri gerçekleştirmesine yol açar.

Güvenlik Önerileri

Bu tür saldırılara karşı DeFi projeleri aşağıdaki birkaç alana odaklanmalıdır:

1. Sözleşme çevrimiçi olmadan önce kapsamlı bir güvenlik denetimi gerçekleştirin, özellikle fon geri ödemesi, likidite testi ve borç tasfiyesi gibi kritik aşamalara dikkat edin.

2. Kullanıcı varlık durumunu etkileyebilecek tüm fonksiyonlara gerekli güvenlik kontrollerini ekleyin.

3. Düzenli olarak kod incelemesi yapın, potansiyel güvenlik açıklarını zamanında tespit edin ve düzeltin.

4. Etkili bir risk yönetim mekanizması kurun, makul borç verme limitleri ve tasfiye eşikleri belirleyin.

5. Saldırı zorluğunu artırmak için çoklu imza gibi mekanizmaların kullanılması düşünülmelidir.

DeFi ekosisteminin sürekli gelişmesiyle birlikte, projelerin akıllı sözleşme güvenliğine daha fazla önem vermesi, her yönüyle koruma önlemleri alması ve benzer riskleri en aza indirmesi gerekiyor.