Euler Finance遭受闪电贷攻击损失1.97亿美元

3月13日，Euler Finance项目因智能合约漏洞遭受闪电贷攻击，造成高达1.97亿美元的损失。这次攻击涉及6种代币，是近期最大规模的DeFi攻击事件之一。

攻击过程分析

攻击者首先从某借贷平台获取3000万DAI的闪电贷，随后部署了借贷合约和清算合约。接着将2000万DAI质押到Euler Protocol获得1950万eDAI。

利用Euler Protocol的10倍杠杆，攻击者借出了1.956亿eDAI和2亿dDAI。随后用剩余1000万DAI偿还部分债务并销毁相应dDAI，再次借出同等数量的eDAI和dDAI。

关键步骤是调用donateToReserves函数捐赠1亿eDAI，随后通过liquidate函数清算获得3.1亿dDAI和2.5亿eDAI。最后提取3890万DAI，归还3000万闪电贷，净利润约887万DAI。

漏洞原因分析

漏洞存在于Euler Finance的donateToReserves函数中。与mint等其他函数不同，donateToReserves缺少了关键的checkLiquidity步骤。这导致用户可以绕过流动性检查，人为制造清算条件并从中获利。

正常情况下，checkLiquidity会调用RiskManager模块检查用户的eToken是否大于dToken，以确保账户健康。缺少这一步骤使攻击者得以操纵自身账户状态，实现不当清算。

安全建议

针对此类攻击，DeFi项目应重点关注以下几个方面：

1. 合约上线前进行全面的安全审计，尤其关注资金偿还、流动性检测和债务清算等关键环节。

2. 在所有可能影响用户资产状态的函数中添加必要的安全检查。

3. 定期进行代码review，及时发现并修复潜在漏洞。

4. 建立有效的风险管理机制，设置合理的借贷限额和清算阈值。

5. 考虑引入多重签名等机制，增加攻击难度。

随着DeFi生态的不断发展，项目方需要更加重视智能合约安全，采取全方位的防护措施，最大限度降低类似风险。