تعرض مشروع Euler Finance لهجوم القرض الفوري، مما أدى إلى خسارة تقارب 200 مليون دولار أمريكي
في 13 مارس، تعرض مشروع Euler Finance لهجوم القرض الفوري بسبب ثغرة في العقد الذكي، مما أدى إلى خسارة حوالي 197 مليون دولار. تتضمن هذه الحادثة 6 أنواع من الرموز، وهي واحدة من أكبر هجمات DeFi في الآونة الأخيرة.
تحليل عملية الهجوم
قام المهاجم أولاً بالحصول على قرض فوري بقيمة 30 مليون DAI من منصة اقتراض معينة، ثم نشر عقدين للاقتراض والتصفية. الهجوم مقسم بشكل أساسي إلى الخطوات التالية:
قم بتجميد 20000000 DAI في بروتوكول Euler للحصول على 19500000 eDAI.
استخدام ميزة الرافعة المالية 10 مرات من بروتوكول Euler، اقتراض 1.956 مليون eDAI و 2 مليون dDAI.
استخدم 10 ملايين DAI المتبقية لسداد جزء من الديون وحرق الكمية المقابلة من dDAI، ثم اقترض مرة أخرى نفس الكمية من eDAI وdDAI.
التبرع بمبلغ 100 مليون eDAI من خلال وظيفة donateToReserves، وتنفيذ عملية التصفية على الفور، للحصول على 310 مليون dDAI و 250 مليون eDAI.
بعد استخراج 3890万DAI، و سداد القروض السريعة، تم تحقيق ربح يقارب 887万DAI.
سبب الثغرة
تتمثل الثغرة الأساسية في الهجوم في أن دالة donateToReserves في بروتوكول Euler تفتقر إلى فحص السيولة الضروري. على عكس الدوال الرئيسية الأخرى مثل mint، لم تستدعِ دالة donateToReserves دالة checkLiquidity للتحقق من سيولة المستخدم. وهذا يمكّن المهاجمين من التلاعب بحالة حساباتهم لجعلها تفي بشروط التصفية، مما يسمح بتنفيذ الهجوم.
عادةً ما تستدعي دالة checkLiquidity وحدة RiskManager، لضمان أن عدد Etoken للمستخدم أكبر من عدد Dtoken. ومع ذلك، نظرًا لأن دالة donateToReserves تخطت هذه الخطوة، تمكن المهاجمون من استغلال هذه الثغرة لتحقيق أرباح ضخمة.
نصائح للأمان
بالنسبة لمثل هذه الهجمات، يجب على مشاريع DeFi الانتباه بشكل خاص للنقاط التالية:
تعزيز تدقيق أمان العقود الذكية، مع التركيز بشكل خاص على سداد الأموال، واختبار السيولة، وتسوية الديون وغيرها من النقاط الرئيسية.
تأكد من أن جميع الدوال المعنية بعمليات أصول المستخدم تتضمن الفحوصات الأمنية اللازمة.
إجراء مراجعات دورية للكود وبرامج مكافآت الثغرات لاكتشاف وإصلاح المخاطر المحتملة في الوقت المناسب.
إنشاء آلية استجابة للطوارئ قادرة على التعامل بسرعة مع الحوادث الأمنية المحتملة.
تؤكد هذه الحادثة مرة أخرى على أهمية أمان مشاريع DeFi. مع استمرار تطور الصناعة، يحتاج مطورو المشاريع إلى إيلاء المزيد من الاهتمام لتصميم وتنفيذ أمان العقود الذكية لحماية أصول المستخدمين.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 13
أعجبني
13
9
إعادة النشر
مشاركة
تعليق
0/400
MainnetDelayedAgain
· 08-14 02:16
وفقًا لقاعدة البيانات، فإن المشروع الثالث عشر الذي تم تدريسه هذا العام
شاهد النسخة الأصليةرد0
AirdropHunter
· 08-13 12:46
تمت سرقة شيء آخر مني
شاهد النسخة الأصليةرد0
BearMarketGardener
· 08-12 05:01
مرسلة أخرى
شاهد النسخة الأصليةرد0
OvertimeSquid
· 08-12 01:52
هل هي ثغرة في العقد مرة أخرى؟
شاهد النسخة الأصليةرد0
GasFeeNightmare
· 08-11 08:12
مشروع كبير آخر فشل
شاهد النسخة الأصليةرد0
SigmaBrain
· 08-11 08:11
لقد تجاوزت مليتين مرة أخرى، إنها قاسية للغاية
شاهد النسخة الأصليةرد0
LiquidityWitch
· 08-11 08:09
ممم... أشاهد فنون القروض السريعة المظلمة تأخذ روحاً أخرى. الكتاب المحظور يضرب من جديد
تعرضت Euler Finance لهجوم القرض الفوري وخسارة نحو 200 مليون دولار من الأموال.
تعرض مشروع Euler Finance لهجوم القرض الفوري، مما أدى إلى خسارة تقارب 200 مليون دولار أمريكي
في 13 مارس، تعرض مشروع Euler Finance لهجوم القرض الفوري بسبب ثغرة في العقد الذكي، مما أدى إلى خسارة حوالي 197 مليون دولار. تتضمن هذه الحادثة 6 أنواع من الرموز، وهي واحدة من أكبر هجمات DeFi في الآونة الأخيرة.
تحليل عملية الهجوم
قام المهاجم أولاً بالحصول على قرض فوري بقيمة 30 مليون DAI من منصة اقتراض معينة، ثم نشر عقدين للاقتراض والتصفية. الهجوم مقسم بشكل أساسي إلى الخطوات التالية:
قم بتجميد 20000000 DAI في بروتوكول Euler للحصول على 19500000 eDAI.
استخدام ميزة الرافعة المالية 10 مرات من بروتوكول Euler، اقتراض 1.956 مليون eDAI و 2 مليون dDAI.
استخدم 10 ملايين DAI المتبقية لسداد جزء من الديون وحرق الكمية المقابلة من dDAI، ثم اقترض مرة أخرى نفس الكمية من eDAI وdDAI.
التبرع بمبلغ 100 مليون eDAI من خلال وظيفة donateToReserves، وتنفيذ عملية التصفية على الفور، للحصول على 310 مليون dDAI و 250 مليون eDAI.
بعد استخراج 3890万DAI، و سداد القروض السريعة، تم تحقيق ربح يقارب 887万DAI.
سبب الثغرة
تتمثل الثغرة الأساسية في الهجوم في أن دالة donateToReserves في بروتوكول Euler تفتقر إلى فحص السيولة الضروري. على عكس الدوال الرئيسية الأخرى مثل mint، لم تستدعِ دالة donateToReserves دالة checkLiquidity للتحقق من سيولة المستخدم. وهذا يمكّن المهاجمين من التلاعب بحالة حساباتهم لجعلها تفي بشروط التصفية، مما يسمح بتنفيذ الهجوم.
عادةً ما تستدعي دالة checkLiquidity وحدة RiskManager، لضمان أن عدد Etoken للمستخدم أكبر من عدد Dtoken. ومع ذلك، نظرًا لأن دالة donateToReserves تخطت هذه الخطوة، تمكن المهاجمون من استغلال هذه الثغرة لتحقيق أرباح ضخمة.
نصائح للأمان
بالنسبة لمثل هذه الهجمات، يجب على مشاريع DeFi الانتباه بشكل خاص للنقاط التالية:
تعزيز تدقيق أمان العقود الذكية، مع التركيز بشكل خاص على سداد الأموال، واختبار السيولة، وتسوية الديون وغيرها من النقاط الرئيسية.
تأكد من أن جميع الدوال المعنية بعمليات أصول المستخدم تتضمن الفحوصات الأمنية اللازمة.
إجراء مراجعات دورية للكود وبرامج مكافآت الثغرات لاكتشاف وإصلاح المخاطر المحتملة في الوقت المناسب.
إنشاء آلية استجابة للطوارئ قادرة على التعامل بسرعة مع الحوادث الأمنية المحتملة.
تؤكد هذه الحادثة مرة أخرى على أهمية أمان مشاريع DeFi. مع استمرار تطور الصناعة، يحتاج مطورو المشاريع إلى إيلاء المزيد من الاهتمام لتصميم وتنفيذ أمان العقود الذكية لحماية أصول المستخدمين.