El proyecto Euler Finance sufrió un ataque de flash loan, con pérdidas de casi 200 millones de dólares.
El 13 de marzo, el proyecto Euler Finance sufrió un ataque de flash loan debido a una vulnerabilidad en su contrato inteligente, lo que resultó en una pérdida de aproximadamente 197 millones de dólares. Este incidente involucró 6 tipos de tokens y es uno de los ataques DeFi más grandes recientes.
Análisis del proceso de ataque
El atacante primero obtuvo un préstamo de flash de 30 millones de DAI de una plataforma de préstamos, y luego desplegó dos contratos: uno para el préstamo y otro para la liquidación. El ataque se divide principalmente en los siguientes pasos:
Apostar 20 millones de DAI en el Protocolo Euler para obtener 19.5 millones de eDAI.
Utilizando la función de apalancamiento de 10 veces del Protocolo Euler, se prestan 195.6 millones de eDAI y 200 millones de dDAI.
Utilizar los 10 millones de DAI restantes para pagar parte de la deuda y destruir el dDAI correspondiente, luego volver a pedir prestado la misma cantidad de eDAI y dDAI.
Donar 100 millones de eDAI a través de la función donateToReserves y ejecutar inmediatamente la operación de liquidación, obteniendo 310 millones de dDAI y 250 millones de eDAI.
Finalmente se extrajeron 38.9 millones de DAI, y tras devolver el Flash Loans, se obtuvo una ganancia de aproximadamente 8.87 millones de DAI.
Causa de la vulnerabilidad
La vulnerabilidad central de este ataque radica en que la función donateToReserves del Euler Protocol carece de las verificaciones de liquidez necesarias. A diferencia de otras funciones clave como mint, la función donateToReserves no llama a checkLiquidity para validar la liquidez del usuario. Esto permite a los atacantes manipular el estado de su cuenta para cumplir con las condiciones de liquidación, llevando a cabo así el ataque.
La función checkLiquidity suele llamar al módulo RiskManager para asegurarse de que la cantidad de Etoken del usuario sea mayor que la cantidad de Dtoken. Sin embargo, debido a que la función donateToReserves omite este paso, los atacantes pueden aprovechar esta vulnerabilidad para obtener grandes ganancias.
Recomendaciones de seguridad
En relación con este tipo de ataques, los proyectos DeFi deben prestar especial atención a los siguientes puntos:
Fortalecer la auditoría de seguridad de contratos inteligentes, prestando especial atención a aspectos clave como el reembolso de fondos, la detección de liquidez y la liquidación de deudas.
Asegúrate de que todas las funciones que involucren operaciones con activos de usuarios incluyan las verificaciones de seguridad necesarias.
Realizar revisiones de código y programas de recompensas por vulnerabilidades de manera regular para detectar y reparar riesgos potenciales de manera oportuna.
Establecer un mecanismo de respuesta de emergencia que pueda responder rápidamente a posibles incidentes de seguridad.
Este evento destaca una vez más la importancia de la seguridad en los proyectos DeFi. A medida que la industria continúa desarrollándose, los equipos de proyectos deben prestar más atención al diseño y la implementación segura de contratos inteligentes para proteger los activos de los usuarios.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
9
Republicar
Compartir
Comentar
0/400
MainnetDelayedAgain
· 08-14 02:16
Según la base de datos, este es el 13º proyecto que se enseña a hacer en este año.
Ver originalesResponder0
AirdropHunter
· 08-13 12:46
Otra vez me han esquilmado.
Ver originalesResponder0
BearMarketGardener
· 08-12 05:01
Otro enviado
Ver originalesResponder0
OvertimeSquid
· 08-12 01:52
¿Otra vulnerabilidad en el contrato?
Ver originalesResponder0
GasFeeNightmare
· 08-11 08:12
Otro gran proyecto se ha ido al traste
Ver originalesResponder0
SigmaBrain
· 08-11 08:11
Ya ha superado los 200 millones, es increíble.
Ver originalesResponder0
LiquidityWitch
· 08-11 08:09
mmm... observando las artes oscuras de los préstamos relámpago reclamar otra alma. el grimorio prohibido ataca de nuevo
Euler Finance sufrió un ataque de flash loan, con una pérdida de casi 200 millones de dólares.
El proyecto Euler Finance sufrió un ataque de flash loan, con pérdidas de casi 200 millones de dólares.
El 13 de marzo, el proyecto Euler Finance sufrió un ataque de flash loan debido a una vulnerabilidad en su contrato inteligente, lo que resultó en una pérdida de aproximadamente 197 millones de dólares. Este incidente involucró 6 tipos de tokens y es uno de los ataques DeFi más grandes recientes.
Análisis del proceso de ataque
El atacante primero obtuvo un préstamo de flash de 30 millones de DAI de una plataforma de préstamos, y luego desplegó dos contratos: uno para el préstamo y otro para la liquidación. El ataque se divide principalmente en los siguientes pasos:
Apostar 20 millones de DAI en el Protocolo Euler para obtener 19.5 millones de eDAI.
Utilizando la función de apalancamiento de 10 veces del Protocolo Euler, se prestan 195.6 millones de eDAI y 200 millones de dDAI.
Utilizar los 10 millones de DAI restantes para pagar parte de la deuda y destruir el dDAI correspondiente, luego volver a pedir prestado la misma cantidad de eDAI y dDAI.
Donar 100 millones de eDAI a través de la función donateToReserves y ejecutar inmediatamente la operación de liquidación, obteniendo 310 millones de dDAI y 250 millones de eDAI.
Finalmente se extrajeron 38.9 millones de DAI, y tras devolver el Flash Loans, se obtuvo una ganancia de aproximadamente 8.87 millones de DAI.
Causa de la vulnerabilidad
La vulnerabilidad central de este ataque radica en que la función donateToReserves del Euler Protocol carece de las verificaciones de liquidez necesarias. A diferencia de otras funciones clave como mint, la función donateToReserves no llama a checkLiquidity para validar la liquidez del usuario. Esto permite a los atacantes manipular el estado de su cuenta para cumplir con las condiciones de liquidación, llevando a cabo así el ataque.
La función checkLiquidity suele llamar al módulo RiskManager para asegurarse de que la cantidad de Etoken del usuario sea mayor que la cantidad de Dtoken. Sin embargo, debido a que la función donateToReserves omite este paso, los atacantes pueden aprovechar esta vulnerabilidad para obtener grandes ganancias.
Recomendaciones de seguridad
En relación con este tipo de ataques, los proyectos DeFi deben prestar especial atención a los siguientes puntos:
Fortalecer la auditoría de seguridad de contratos inteligentes, prestando especial atención a aspectos clave como el reembolso de fondos, la detección de liquidez y la liquidación de deudas.
Asegúrate de que todas las funciones que involucren operaciones con activos de usuarios incluyan las verificaciones de seguridad necesarias.
Realizar revisiones de código y programas de recompensas por vulnerabilidades de manera regular para detectar y reparar riesgos potenciales de manera oportuna.
Establecer un mecanismo de respuesta de emergencia que pueda responder rápidamente a posibles incidentes de seguridad.
Este evento destaca una vez más la importancia de la seguridad en los proyectos DeFi. A medida que la industria continúa desarrollándose, los equipos de proyectos deben prestar más atención al diseño y la implementación segura de contratos inteligentes para proteger los activos de los usuarios.