- Chủ đề
113k Phổ biến
25k Phổ biến
6k Phổ biến
29k Phổ biến
17k Phổ biến
23k Phổ biến
14k Phổ biến
3k Phổ biến
14k Phổ biến
154k Phổ biến
- Ghim
113k Phổ biến
25k Phổ biến
6k Phổ biến
29k Phổ biến
17k Phổ biến
23k Phổ biến
14k Phổ biến
3k Phổ biến
14k Phổ biến
154k Phổ biến
Euler Finance遭1.97亿美元cuộc tấn công cho vay chớp nhoáng Tài chính phi tập trung安全再敲警钟
Euler Finance遭受 cuộc tấn công cho vay chớp nhoáng损失1.97亿美元
Vào ngày 13 tháng 3, dự án Euler Finance đã bị tấn công cho vay chớp nhoáng do lỗ hổng trong hợp đồng thông minh, gây ra thiệt hại lên đến 197 triệu USD. Cuộc tấn công này liên quan đến 6 loại token, là một trong những sự kiện tấn công DeFi lớn nhất gần đây.
Phân tích quá trình tấn công
Kẻ tấn công trước tiên lấy khoản vay nhanh 30 triệu DAI từ một nền tảng cho vay, sau đó triển khai hợp đồng cho vay và hợp đồng thanh lý. Tiếp theo, họ thế chấp 20 triệu DAI vào Euler Protocol để nhận 19,5 triệu eDAI.
Sử dụng đòn bẩy 10 lần của Giao thức Euler, kẻ tấn công đã vay 195.6 triệu eDAI và 200 triệu dDAI. Sau đó, họ dùng 10 triệu DAI còn lại để hoàn trả một phần nợ và tiêu hủy số dDAI tương ứng, rồi lại vay số lượng eDAI và dDAI tương đương.
Bước quan trọng là gọi hàm donateToReserves để quyên góp 100 triệu eDAI, sau đó thông qua hàm liquidate để thanh lý nhận được 310 triệu dDAI và 250 triệu eDAI. Cuối cùng, rút 38,9 triệu DAI, hoàn trả 30 triệu Khoản vay nhanh, lợi nhuận ròng khoảng 8,87 triệu DAI.
Phân tích nguyên nhân lỗ hổng
Lỗi tồn tại trong hàm donateToReserves của Euler Finance. Khác với các hàm khác như mint, donateToReserves thiếu bước kiểm tra thanh khoản quan trọng. Điều này dẫn đến việc người dùng có thể bỏ qua kiểm tra thanh khoản, tạo ra điều kiện thanh lý một cách nhân tạo và thu lợi từ đó.
Trong trường hợp bình thường, checkLiquidity sẽ gọi mô-đun RiskManager để kiểm tra xem eToken của người dùng có lớn hơn dToken hay không, nhằm đảm bảo sức khỏe tài khoản. Việc thiếu bước này cho phép kẻ tấn công thao túng trạng thái tài khoản của chính mình, dẫn đến việc thanh lý không đúng cách.
Lời khuyên an toàn
Đối với các cuộc tấn công như vậy, các dự án DeFi nên tập trung vào các khía cạnh sau:
Thực hiện kiểm toán an ninh toàn diện trước khi hợp đồng lên sóng, đặc biệt chú ý đến các khâu quan trọng như hoàn trả vốn, kiểm tra tính thanh khoản và thanh lý nợ.
Thêm các kiểm tra an toàn cần thiết vào tất cả các hàm có thể ảnh hưởng đến trạng thái tài sản của người dùng.
Thực hiện kiểm tra mã định kỳ để phát hiện và sửa chữa kịp thời các lỗ hổng tiềm ẩn.
Xây dựng cơ chế quản lý rủi ro hiệu quả, thiết lập giới hạn cho vay hợp lý và ngưỡng thanh lý.
Cân nhắc việc áp dụng các cơ chế như chữ ký đa chữ ký để tăng độ khó của cuộc tấn công.
Với sự phát triển không ngừng của hệ sinh thái DeFi, các dự án cần chú trọng hơn đến an toàn hợp đồng thông minh, áp dụng các biện pháp bảo vệ toàn diện để giảm thiểu rủi ro tương tự ở mức tối đa.