Euler Finance зазнала флеш-атаки з втратами в 1.97 мільярда доларів

13 березня проект Euler Finance зазнав флеш-атаки через вразливість смарт-контракту, що призвело до збитків у розмірі до 197 мільйонів доларів. Ця атака включала 6 видів токенів і є однією з найбільших атак у сфері DeFi в останній час.

Аналіз процесу атаки

Атакувальник спочатку отримав термінові позики на 30 мільйонів DAI з певної платформи кредитування, після чого розгорнув договори позики та ліквідації. Потім він заставив 20 мільйонів DAI у протоколі Euler, щоб отримати 19,5 мільйона eDAI.

Використовуючи 10-кратний кредит на Euler Protocol, зловмисник позичив 195,6 млн eDAI та 200 млн dDAI. Потім він погасив частину боргу залишковими 10 млн DAI і знищив відповідну кількість dDAI, знову позичивши таку ж кількість eDAI та dDAI.

Ключовим кроком є виклик функції donateToReserves для пожертвування 100 мільйонів eDAI, після чого через функцію liquidate проводиться ліквідація для отримання 310 мільйонів dDAI та 250 мільйонів eDAI. На завершення витягується 38,9 мільйона DAI, повертається 30 мільйонів Термінові позики, чистий прибуток становить приблизно 8,87 мільйона DAI.

Аналіз причин вразливості

Вразливість існує у функції donateToReserves Euler Finance. На відміну від інших функцій, таких як mint, donateToReserves не містить критично важливий крок checkLiquidity. Це дозволяє користувачам обходити перевірку ліквідності, штучно створюючи умови для ліквідації та отримуючи прибуток.

У нормальних умовах, checkLiquidity викликає модуль RiskManager для перевірки, чи є eToken користувача більшим за dToken, щоб забезпечити здоров'я рахунку. Відсутність цього кроку дозволяє зловмиснику маніпулювати станом свого рахунку, що призводить до неналежного ліквідації.

Рекомендації щодо безпеки

Щодо таких атак, проектам DeFi слід зосередитися на кількох аспектах:

1. Перед запуском контракту проведення всебічного аудиту безпеки, з особливою увагою до ключових етапів, таких як повернення коштів, перевірка ліквідності та ліквідація боргів.

2. Додати необхідні перевірки безпеки в усі функції, які можуть вплинути на стан активів користувача.

3. Регулярно проводити рев'ю коду, своєчасно виявляти та виправляти потенційні вразливості.

4. Встановити ефективний механізм управління ризиками, встановити розумні ліміти позики та пороги ліквідації.

5. Розгляньте можливість впровадження механізмів багатопідпису та інших, щоб ускладнити атаки.

З розвитком екосистеми DeFi проєкти повинні більше уваги приділяти безпеці смарт-контрактів, вжити всебічних заходів захисту для максимального зниження подібних ризиків.