Euler Finance sofreu um ataque de empréstimo flash de 197 milhões de dólares, com uma vulnerabilidade no contrato expondo um risco de segurança significativo.
Euler Finance sofreu ataque de empréstimo flash, com perdas de quase 200 milhões de dólares.
Recentemente, um grande incidente de segurança chamou a atenção do mundo das criptomoedas. De acordo com dados de monitoramento na blockchain, o projeto Euler Finance sofreu um grave ataque de empréstimo flash em 13 de março de 2023, resultando em uma perda colossal de até 197 milhões de dólares, envolvendo 6 tipos diferentes de criptomoedas.
A causa fundamental deste ataque reside numa falha crítica no contrato do projeto Euler Finance. Especificamente, a função donateToReserves no Etoken do projeto carecia do mecanismo necessário de verificação de liquidez, criando uma oportunidade para os atacantes. Os hackers exploraram esta vulnerabilidade, realizando múltiplas chamadas a funções relacionadas com diferentes moedas, culminando na realização deste roubo massivo de fundos.
O processo específico do ataque pode ser resumido nos seguintes passos:
O hacker primeiro obteve 30 milhões de DAI através de um Empréstimo Flash de uma plataforma de empréstimos.
Em seguida, foram implantados dois contratos-chave: um para operações de empréstimo e outro para operações de liquidação.
O hacker penhorou 20 milhões de DAI emprestados no contrato do Euler Protocol, obtendo aproximadamente 19,5 milhões de eDAI.
Aproveitando a funcionalidade de alavancagem de 10x do Euler Protocol, o hacker emprestou uma grande quantidade de eDAI e dDAI.
Através da manipulação astuta das funções repay e mint, o hacker aumentou ainda mais o limite de empréstimo.
O passo crucial é chamar a função donateToReserves, doando um valor equivalente a 10 vezes o montante a ser reembolsado, e em seguida realizar a liquidação através da função liquidate, obtendo assim uma grande quantidade de dDAI e eDAI.
Por fim, o hacker extraiu cerca de 38,9 milhões de DAI, reembolsou os 30 milhões de DAI do empréstimo flash inicial e obteve um lucro líquido de cerca de 8,87 milhões de DAI.
Este ataque expôs uma grave falha de design no contrato do projeto Euler Finance. Ao contrário de outras funções críticas, a função donateToReserves carece do passo necessário de checkLiquidity, que deveria chamar o RiskManager para garantir que o Etoken do usuário seja sempre maior que o Dtoken. Foi essa negligência que permitiu ao atacante explorar a situação, manipulando o estado de sua conta para atender às condições de liquidação e, assim, lucrar com isso.
Este evento destaca novamente a importância da auditoria de segurança de contratos inteligentes. Para projetos de empréstimo, é especialmente necessário prestar atenção à segurança de etapas críticas como reembolso de fundos, detecção de liquidez e liquidação de dívidas. Apenas através de auditorias de segurança rigorosas e avaliações de risco abrangentes é que se pode minimizar a probabilidade de ocorrência de eventos de segurança semelhantes e garantir a segurança dos ativos dos usuários.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
7 gostos
Recompensa
7
1
Republicar
Partilhar
Comentar
0/400
DaoDeveloper
· 22h atrás
exatamente o que esperar com a falta de verificações de liquidez... auditoria de contrato inteligente 101 para ser sincero
Euler Finance sofreu um ataque de empréstimo flash de 197 milhões de dólares, com uma vulnerabilidade no contrato expondo um risco de segurança significativo.
Euler Finance sofreu ataque de empréstimo flash, com perdas de quase 200 milhões de dólares.
Recentemente, um grande incidente de segurança chamou a atenção do mundo das criptomoedas. De acordo com dados de monitoramento na blockchain, o projeto Euler Finance sofreu um grave ataque de empréstimo flash em 13 de março de 2023, resultando em uma perda colossal de até 197 milhões de dólares, envolvendo 6 tipos diferentes de criptomoedas.
A causa fundamental deste ataque reside numa falha crítica no contrato do projeto Euler Finance. Especificamente, a função donateToReserves no Etoken do projeto carecia do mecanismo necessário de verificação de liquidez, criando uma oportunidade para os atacantes. Os hackers exploraram esta vulnerabilidade, realizando múltiplas chamadas a funções relacionadas com diferentes moedas, culminando na realização deste roubo massivo de fundos.
O processo específico do ataque pode ser resumido nos seguintes passos:
O hacker primeiro obteve 30 milhões de DAI através de um Empréstimo Flash de uma plataforma de empréstimos.
Em seguida, foram implantados dois contratos-chave: um para operações de empréstimo e outro para operações de liquidação.
O hacker penhorou 20 milhões de DAI emprestados no contrato do Euler Protocol, obtendo aproximadamente 19,5 milhões de eDAI.
Aproveitando a funcionalidade de alavancagem de 10x do Euler Protocol, o hacker emprestou uma grande quantidade de eDAI e dDAI.
Através da manipulação astuta das funções repay e mint, o hacker aumentou ainda mais o limite de empréstimo.
O passo crucial é chamar a função donateToReserves, doando um valor equivalente a 10 vezes o montante a ser reembolsado, e em seguida realizar a liquidação através da função liquidate, obtendo assim uma grande quantidade de dDAI e eDAI.
Por fim, o hacker extraiu cerca de 38,9 milhões de DAI, reembolsou os 30 milhões de DAI do empréstimo flash inicial e obteve um lucro líquido de cerca de 8,87 milhões de DAI.
Este ataque expôs uma grave falha de design no contrato do projeto Euler Finance. Ao contrário de outras funções críticas, a função donateToReserves carece do passo necessário de checkLiquidity, que deveria chamar o RiskManager para garantir que o Etoken do usuário seja sempre maior que o Dtoken. Foi essa negligência que permitiu ao atacante explorar a situação, manipulando o estado de sua conta para atender às condições de liquidação e, assim, lucrar com isso.
Este evento destaca novamente a importância da auditoria de segurança de contratos inteligentes. Para projetos de empréstimo, é especialmente necessário prestar atenção à segurança de etapas críticas como reembolso de fundos, detecção de liquidez e liquidação de dívidas. Apenas através de auditorias de segurança rigorosas e avaliações de risco abrangentes é que se pode minimizar a probabilidade de ocorrência de eventos de segurança semelhantes e garantir a segurança dos ativos dos usuários.