A Euler Finance sofreu um ataque de empréstimo flash, com perdas de quase 200 milhões de dólares.
No dia 13 de março, o projeto Euler Finance foi alvo de um ataque de empréstimo flash devido a uma vulnerabilidade no contrato inteligente, resultando em uma perda de aproximadamente 197 milhões de dólares em fundos. Este ataque envolveu 6 tipos de tokens, sendo um dos maiores incidentes de segurança no setor DeFi recentemente.
Análise do processo de ataque
O atacante primeiro obteve um empréstimo flash de 30 milhões de DAI de uma plataforma de empréstimo, e em seguida, implementou dois contratos, um de empréstimo e outro de liquidação. O processo de ataque é aproximadamente o seguinte:
Colocar 20 milhões de DAI em staking no Euler Protocol para obter 19,5 milhões de eDAI.
Usar o empréstimo alavancado de 10 vezes do Euler Protocol para emprestar 195,6 milhões de eDAI e 200 milhões de dDAI.
Usar os restantes 10 milhões DAI para pagar parte da dívida, destruindo o dDAI correspondente.
Novamente emprestar a mesma quantidade de eDAI e dDAI.
Doar 100 milhões de eDAI através da função donateToReserves e, em seguida, chamar a função liquidate para realizar a liquidação, obtendo 310 milhões de dDAI e 250 milhões de eDAI.
Por fim, foram retirados 38,9 milhões de DAI, reembolsando 30 milhões de Empréstimos Flash, com um lucro líquido de cerca de 8,87 milhões de DAI.
Causa da Vulnerabilidade
A chave deste ataque reside na falta de verificações de liquidez necessárias na função donateToReserves da Euler Finance. Ao contrário de outras funções como mint, donateToReserves não chama a função checkLiquidity para verificar a situação dos ativos do usuário. Isso permite que o atacante coloque sua conta em um estado que pode ser liquidado através dessa função, permitindo assim a execução do ataque.
Normalmente, a função checkLiquidity chamaria o módulo RiskManager para garantir que o eToken do usuário seja maior que o dToken, a fim de manter a segurança do sistema. No entanto, a função donateToReserves pulou este passo importante, oferecendo uma oportunidade para os atacantes.
Sugestões de Segurança
Este evento destaca novamente a importância da segurança dos contratos em projetos DeFi. Para projetos de empréstimo, é especialmente importante ter atenção aos seguintes pontos:
Certifique-se de que todas as funções que envolvem operações de fundos realizem verificações de liquidez adequadas.
Controlar rigorosamente a alavancagem dos empréstimos dos usuários, a fim de prevenir riscos sistêmicos causados por alavancagem excessiva.
Implementar múltiplos mecanismos de segurança, como a função de pausa de emergência, para lidar com eventos de segurança inesperados.
Realizar uma auditoria completa do contrato, com especial atenção aos aspectos críticos, como reembolso de fundos, detecção de liquidez e liquidação de dívidas.
Realizar avaliações de segurança e testes de stress regularmente, para identificar e corrigir rapidamente vulnerabilidades potenciais.
Este incidente de ataque nos lembra que, no mundo em rápida evolução do Web3, a segurança deve ser sempre a principal consideração. Os desenvolvedores de projetos devem investir mais recursos na construção de segurança, e os usuários também precisam aumentar a conscientização sobre riscos, participando com cautela em vários projetos DeFi.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Euler Finance sofreu ataque de empréstimo flash, com perdas de quase 200 milhões de dólares.
A Euler Finance sofreu um ataque de empréstimo flash, com perdas de quase 200 milhões de dólares.
No dia 13 de março, o projeto Euler Finance foi alvo de um ataque de empréstimo flash devido a uma vulnerabilidade no contrato inteligente, resultando em uma perda de aproximadamente 197 milhões de dólares em fundos. Este ataque envolveu 6 tipos de tokens, sendo um dos maiores incidentes de segurança no setor DeFi recentemente.
Análise do processo de ataque
O atacante primeiro obteve um empréstimo flash de 30 milhões de DAI de uma plataforma de empréstimo, e em seguida, implementou dois contratos, um de empréstimo e outro de liquidação. O processo de ataque é aproximadamente o seguinte:
Colocar 20 milhões de DAI em staking no Euler Protocol para obter 19,5 milhões de eDAI.
Usar o empréstimo alavancado de 10 vezes do Euler Protocol para emprestar 195,6 milhões de eDAI e 200 milhões de dDAI.
Usar os restantes 10 milhões DAI para pagar parte da dívida, destruindo o dDAI correspondente.
Novamente emprestar a mesma quantidade de eDAI e dDAI.
Doar 100 milhões de eDAI através da função donateToReserves e, em seguida, chamar a função liquidate para realizar a liquidação, obtendo 310 milhões de dDAI e 250 milhões de eDAI.
Por fim, foram retirados 38,9 milhões de DAI, reembolsando 30 milhões de Empréstimos Flash, com um lucro líquido de cerca de 8,87 milhões de DAI.
Causa da Vulnerabilidade
A chave deste ataque reside na falta de verificações de liquidez necessárias na função donateToReserves da Euler Finance. Ao contrário de outras funções como mint, donateToReserves não chama a função checkLiquidity para verificar a situação dos ativos do usuário. Isso permite que o atacante coloque sua conta em um estado que pode ser liquidado através dessa função, permitindo assim a execução do ataque.
Normalmente, a função checkLiquidity chamaria o módulo RiskManager para garantir que o eToken do usuário seja maior que o dToken, a fim de manter a segurança do sistema. No entanto, a função donateToReserves pulou este passo importante, oferecendo uma oportunidade para os atacantes.
Sugestões de Segurança
Este evento destaca novamente a importância da segurança dos contratos em projetos DeFi. Para projetos de empréstimo, é especialmente importante ter atenção aos seguintes pontos:
Certifique-se de que todas as funções que envolvem operações de fundos realizem verificações de liquidez adequadas.
Controlar rigorosamente a alavancagem dos empréstimos dos usuários, a fim de prevenir riscos sistêmicos causados por alavancagem excessiva.
Implementar múltiplos mecanismos de segurança, como a função de pausa de emergência, para lidar com eventos de segurança inesperados.
Realizar uma auditoria completa do contrato, com especial atenção aos aspectos críticos, como reembolso de fundos, detecção de liquidez e liquidação de dívidas.
Realizar avaliações de segurança e testes de stress regularmente, para identificar e corrigir rapidamente vulnerabilidades potenciais.
Este incidente de ataque nos lembra que, no mundo em rápida evolução do Web3, a segurança deve ser sempre a principal consideração. Os desenvolvedores de projetos devem investir mais recursos na construção de segurança, e os usuários também precisam aumentar a conscientização sobre riscos, participando com cautela em vários projetos DeFi.