Euler Finance sufrió un ataque de flash loan, con pérdidas cercanas a 200 millones de dólares
El 13 de marzo de 2023, el proyecto Euler Finance sufrió un ataque de flash loan debido a una vulnerabilidad en el contrato inteligente, lo que resultó en una pérdida significativa de aproximadamente 197 millones de dólares. El atacante aprovechó la falta de verificación de liquidez en la función donateToReserves del contrato y llevó a cabo el ataque mediante múltiples operaciones.
Análisis del proceso de ataque
Los pasos principales del atacante son los siguientes:
Tomar prestados 30 millones de DAI de una plataforma de préstamos mediante Flash Loans, y desplegar dos contratos: uno para el préstamo y otro para la liquidación.
Poner 20 millones de DAI en el contrato del Protocolo Euler, obteniendo 19.5 millones de eDAI.
Utilizando la función de apalancamiento de 10x de Euler Protocol, se prestan 195.6 millones de eDAI y 200 millones de dDAI.
Usar los 10 millones de DAI restantes para pagar parte de la deuda, destruir el dDAI correspondiente y luego volver a pedir prestada la misma cantidad de eDAI y dDAI.
Donar 100 millones de eDAI a través de la función donateToReserves, luego llamar a la función liquidate para liquidar y obtener 310 millones de dDAI y 250 millones de eDAI.
Finalmente se retiraron 38,9 millones de DAI, se devolvieron 30 millones de Flash Loans, y la ganancia neta fue de aproximadamente 8,87 millones de DAI.
Causa de la vulnerabilidad
El núcleo del ataque radica en que la función donateToReserves del contrato de Euler Finance carece de las verificaciones de liquidez necesarias. A diferencia de otras funciones clave (como mint), la función donateToReserves no llama a checkLiquidity para la verificación de liquidez del usuario. Esto permite que el atacante, a través de operaciones específicas, se coloque en un estado que puede ser liquidado y luego complete la liquidación para obtener beneficios.
En condiciones normales, la función checkLiquidity llamaría al módulo RiskManager para asegurar que el Etoken del usuario siempre sea mayor que el Dtoken, manteniendo así la seguridad del contrato. Sin embargo, la función donateToReserves omite este paso importante, lo que provoca una grave vulnerabilidad de seguridad.
Lecciones y consejos
Este evento enfatiza nuevamente la importancia de las auditorías de seguridad de contratos inteligentes. Para los proyectos de préstamos, es necesario prestar especial atención a los siguientes aspectos clave:
Integridad del mecanismo de reembolso de fondos
Integralidad de la detección de liquidez
La seguridad del proceso de liquidación de deudas
El equipo del proyecto debe realizar una auditoría de seguridad completa antes de su lanzamiento, asegurando que cada función del contrato haya pasado por rigurosas verificaciones de seguridad. Al mismo tiempo, la supervisión continua de la seguridad y un programa de recompensas por errores también son medidas efectivas para garantizar la seguridad a largo plazo del proyecto.
Además, los desarrolladores deben prestar atención a la coherencia entre funciones, asegurando que las verificaciones de seguridad clave (como la verificación de liquidez) se implementen correctamente en todas las funciones relevantes. Esto no solo incluye las funciones principales, sino que también debe abarcar funciones auxiliares como donaciones, entre otras.
Por último, se recomienda que los equipos de proyectos y desarrolladores mantengan la vigilancia ante nuevas técnicas de ataque, actualizando regularmente las políticas de seguridad para enfrentar las amenazas de seguridad en blockchain en constante evolución.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
8 me gusta
Recompensa
8
7
Compartir
Comentar
0/400
StableGenius
· hace6h
bueno bueno bueno... como se predijo, otro protocolo aprende sobre el rigor matemático de la manera difícil. Empíricamente hablando, esto era inevitable.
Ver originalesResponder0
SelfCustodyBro
· hace6h
Tumbado, ¡a comer sandías!~
Ver originalesResponder0
PoetryOnChain
· hace7h
Otro contrato de piel crujiente condenado
Ver originalesResponder0
MevHunter
· hace7h
Otro Rug Pull de contratos.
Ver originalesResponder0
SorryRugPulled
· hace7h
Un contrato sin auditoría técnica no es más que regalar dinero.
Ver originalesResponder0
0xInsomnia
· hace7h
Otra vez una vulnerabilidad en contratos inteligentes
Ver originalesResponder0
GasFeeNightmare
· hace7h
Casi pierdo la vida viendo gas en medio de la noche... de diez operaciones, siete fueron fallidas y aún tengo que pagar el impuesto de inteligencia a los mineros.
Euler Finance sufrió un ataque de flash loan, con pérdidas de casi 200 millones de dólares.
Euler Finance sufrió un ataque de flash loan, con pérdidas cercanas a 200 millones de dólares
El 13 de marzo de 2023, el proyecto Euler Finance sufrió un ataque de flash loan debido a una vulnerabilidad en el contrato inteligente, lo que resultó en una pérdida significativa de aproximadamente 197 millones de dólares. El atacante aprovechó la falta de verificación de liquidez en la función donateToReserves del contrato y llevó a cabo el ataque mediante múltiples operaciones.
Análisis del proceso de ataque
Los pasos principales del atacante son los siguientes:
Tomar prestados 30 millones de DAI de una plataforma de préstamos mediante Flash Loans, y desplegar dos contratos: uno para el préstamo y otro para la liquidación.
Poner 20 millones de DAI en el contrato del Protocolo Euler, obteniendo 19.5 millones de eDAI.
Utilizando la función de apalancamiento de 10x de Euler Protocol, se prestan 195.6 millones de eDAI y 200 millones de dDAI.
Usar los 10 millones de DAI restantes para pagar parte de la deuda, destruir el dDAI correspondiente y luego volver a pedir prestada la misma cantidad de eDAI y dDAI.
Donar 100 millones de eDAI a través de la función donateToReserves, luego llamar a la función liquidate para liquidar y obtener 310 millones de dDAI y 250 millones de eDAI.
Finalmente se retiraron 38,9 millones de DAI, se devolvieron 30 millones de Flash Loans, y la ganancia neta fue de aproximadamente 8,87 millones de DAI.
Causa de la vulnerabilidad
El núcleo del ataque radica en que la función donateToReserves del contrato de Euler Finance carece de las verificaciones de liquidez necesarias. A diferencia de otras funciones clave (como mint), la función donateToReserves no llama a checkLiquidity para la verificación de liquidez del usuario. Esto permite que el atacante, a través de operaciones específicas, se coloque en un estado que puede ser liquidado y luego complete la liquidación para obtener beneficios.
En condiciones normales, la función checkLiquidity llamaría al módulo RiskManager para asegurar que el Etoken del usuario siempre sea mayor que el Dtoken, manteniendo así la seguridad del contrato. Sin embargo, la función donateToReserves omite este paso importante, lo que provoca una grave vulnerabilidad de seguridad.
Lecciones y consejos
Este evento enfatiza nuevamente la importancia de las auditorías de seguridad de contratos inteligentes. Para los proyectos de préstamos, es necesario prestar especial atención a los siguientes aspectos clave:
El equipo del proyecto debe realizar una auditoría de seguridad completa antes de su lanzamiento, asegurando que cada función del contrato haya pasado por rigurosas verificaciones de seguridad. Al mismo tiempo, la supervisión continua de la seguridad y un programa de recompensas por errores también son medidas efectivas para garantizar la seguridad a largo plazo del proyecto.
Además, los desarrolladores deben prestar atención a la coherencia entre funciones, asegurando que las verificaciones de seguridad clave (como la verificación de liquidez) se implementen correctamente en todas las funciones relevantes. Esto no solo incluye las funciones principales, sino que también debe abarcar funciones auxiliares como donaciones, entre otras.
Por último, se recomienda que los equipos de proyectos y desarrolladores mantengan la vigilancia ante nuevas técnicas de ataque, actualizando regularmente las políticas de seguridad para enfrentar las amenazas de seguridad en blockchain en constante evolución.