El proyecto Euler Finance sufrió un ataque de flash loan, con pérdidas de casi 200 millones de dólares.
El 13 de marzo, el proyecto Euler Finance sufrió un ataque de flash loan debido a una vulnerabilidad en el contrato inteligente, con pérdidas de hasta 197 millones de dólares. El atacante aprovechó la falta de verificación de liquidez en la función donateToReserves del contrato Etoken del proyecto, realizando múltiples operaciones de ataque a través de varias criptomonedas.
Análisis del proceso de ataque
El atacante primero obtuvo un préstamo relámpago de 30 millones de DAI de una plataforma de préstamos, y luego desplegó dos contratos: uno para préstamos y otro para liquidaciones. El proceso de ataque es aproximadamente el siguiente:
Poner 20 millones de DAI en el contrato de Euler Protocol, obteniendo 19.5 millones de eDAI.
Utilizando la función de apalancamiento de 10x de Euler Protocol, se prestaron 1.956 millones de eDAI y 200 millones de dDAI.
Usar los 10 millones de DAI restantes para pagar parte de la deuda y destruir el dDAI correspondiente.
Volver a prestar la misma cantidad de eDAI y dDAI.
A través de la función donateToReserves, dona 100 millones de eDAI, luego llama a la función liquidate para realizar la liquidación y obtener 310 millones de dDAI y 250 millones de eDAI.
Finalmente, se extrajeron 38.9 millones de DAI, y después de reembolsar el Flash Loans, se obtuvieron ganancias de 8.87 millones de DAI.
Análisis de la causa de la vulnerabilidad
El núcleo de este ataque radica en que la función donateToReserves del proyecto Euler Finance carece de las verificaciones de liquidez necesarias. A diferencia de otras funciones clave como mint, la función donateToReserves no llama a checkLiquidity para la validación de la liquidez del usuario. Esto permite que el atacante manipule el estado de su cuenta para que cumpla con las condiciones de liquidación, logrando así beneficios indebidos.
En condiciones normales, la función checkLiquidity llamaría al módulo RiskManager para asegurar que la cantidad de Etoken del usuario siempre sea mayor que la cantidad de Dtoken. Sin embargo, debido a que la función donateToReserves omitió este paso, el atacante pudo eludir el mecanismo de seguridad.
Consejos de seguridad
Este evento destaca una vez más la importancia de la auditoría de seguridad de contratos inteligentes. Para los proyectos de préstamos, es especialmente necesario prestar atención a los siguientes aspectos:
Integridad del mecanismo de reembolso de fondos
Integralidad de la detección de liquidez
Seguridad del proceso de liquidación de deudas
Antes de implementar el contrato, el equipo del proyecto debe llevar a cabo una auditoría de seguridad integral y detallada para prevenir la aparición de vulnerabilidades similares. Al mismo tiempo, la vigilancia continua de la seguridad y la reparación oportuna de vulnerabilidades son clave para garantizar el funcionamiento seguro a largo plazo del proyecto.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
7 me gusta
Recompensa
7
2
Compartir
Comentar
0/400
WhaleMinion
· 07-25 11:58
Aquí viene otro que causa problemas.
Ver originalesResponder0
DefiEngineerJack
· 07-25 11:45
*suspiro* hora de aficionados en el diseño de contratos inteligentes... muéstrame la verificación formal o lárgate
Euler Finance sufrió un ataque de flash loan con pérdidas cercanas a 200 millones de dólares.
El proyecto Euler Finance sufrió un ataque de flash loan, con pérdidas de casi 200 millones de dólares.
El 13 de marzo, el proyecto Euler Finance sufrió un ataque de flash loan debido a una vulnerabilidad en el contrato inteligente, con pérdidas de hasta 197 millones de dólares. El atacante aprovechó la falta de verificación de liquidez en la función donateToReserves del contrato Etoken del proyecto, realizando múltiples operaciones de ataque a través de varias criptomonedas.
Análisis del proceso de ataque
El atacante primero obtuvo un préstamo relámpago de 30 millones de DAI de una plataforma de préstamos, y luego desplegó dos contratos: uno para préstamos y otro para liquidaciones. El proceso de ataque es aproximadamente el siguiente:
Poner 20 millones de DAI en el contrato de Euler Protocol, obteniendo 19.5 millones de eDAI.
Utilizando la función de apalancamiento de 10x de Euler Protocol, se prestaron 1.956 millones de eDAI y 200 millones de dDAI.
Usar los 10 millones de DAI restantes para pagar parte de la deuda y destruir el dDAI correspondiente.
Volver a prestar la misma cantidad de eDAI y dDAI.
A través de la función donateToReserves, dona 100 millones de eDAI, luego llama a la función liquidate para realizar la liquidación y obtener 310 millones de dDAI y 250 millones de eDAI.
Finalmente, se extrajeron 38.9 millones de DAI, y después de reembolsar el Flash Loans, se obtuvieron ganancias de 8.87 millones de DAI.
Análisis de la causa de la vulnerabilidad
El núcleo de este ataque radica en que la función donateToReserves del proyecto Euler Finance carece de las verificaciones de liquidez necesarias. A diferencia de otras funciones clave como mint, la función donateToReserves no llama a checkLiquidity para la validación de la liquidez del usuario. Esto permite que el atacante manipule el estado de su cuenta para que cumpla con las condiciones de liquidación, logrando así beneficios indebidos.
En condiciones normales, la función checkLiquidity llamaría al módulo RiskManager para asegurar que la cantidad de Etoken del usuario siempre sea mayor que la cantidad de Dtoken. Sin embargo, debido a que la función donateToReserves omitió este paso, el atacante pudo eludir el mecanismo de seguridad.
Consejos de seguridad
Este evento destaca una vez más la importancia de la auditoría de seguridad de contratos inteligentes. Para los proyectos de préstamos, es especialmente necesario prestar atención a los siguientes aspectos:
Antes de implementar el contrato, el equipo del proyecto debe llevar a cabo una auditoría de seguridad integral y detallada para prevenir la aparición de vulnerabilidades similares. Al mismo tiempo, la vigilancia continua de la seguridad y la reparación oportuna de vulnerabilidades son clave para garantizar el funcionamiento seguro a largo plazo del proyecto.