Le projet Euler Finance a subi une attaque par prêts flash, entraînant des pertes de près de 200 millions de dollars.
Le 13 mars, le projet Euler Finance a subi une attaque de prêt flash en raison d'une vulnérabilité dans son contrat intelligent, entraînant une perte de fonds d'environ 197 millions de dollars. Cet incident implique 6 types de jetons et est l'une des plus grandes attaques DeFi récentes.
Analyse du processus d'attaque
L'attaquant a d'abord obtenu un prêt flash de 30 millions de DAI d'une plateforme de prêt, puis a déployé deux contrats pour le prêt et la liquidation. L'attaque se divise principalement en plusieurs étapes :
Pledge 20 millions DAI au protocole Euler pour obtenir 19.5 millions eDAI.
Utiliser la fonction de levier 10x du protocole Euler pour emprunter 195,6 millions d'eDAI et 200 millions de dDAI.
Utiliser les 10 millions de DAI restants pour rembourser une partie de la dette et détruire la quantité correspondante de dDAI, puis emprunter à nouveau la même quantité d'eDAI et de dDAI.
Faire un don de 100 millions d'eDAI via la fonction donateToReserves, puis effectuer immédiatement l'opération de liquidation pour obtenir 310 millions de dDAI et 250 millions d'eDAI.
Enfin, extraction de 38,9 millions de DAI, profit d'environ 8,87 millions de DAI après remboursement du Prêt Flash.
Cause de la vulnérabilité
La vulnérabilité centrale de cette attaque réside dans la fonction donateToReserves du protocole Euler qui manque de vérifications de liquidité nécessaires. Contrairement à d'autres fonctions clés comme mint, la fonction donateToReserves n'appelle pas checkLiquidity pour valider la liquidité des utilisateurs. Cela permet aux attaquants de manipuler l'état de leur propre compte pour satisfaire aux conditions de liquidation et ainsi mener l'attaque.
La fonction checkLiquidity appelle généralement le module RiskManager pour s'assurer que le nombre d'Etoken de l'utilisateur est supérieur au nombre de Dtoken. Cependant, en raison du fait que la fonction donateToReserves a sauté cette étape, les attaquants ont pu exploiter cette vulnérabilité pour réaliser d'énormes bénéfices.
Conseils de sécurité
Pour ce type d'attaque, les projets DeFi devraient prêter une attention particulière aux points suivants :
Renforcer l'audit de sécurité des contrats intelligents, en mettant particulièrement l'accent sur les étapes clés telles que le remboursement des fonds, la détection de la liquidité et le règlement des dettes.
Assurez-vous que toutes les fonctions impliquant des opérations sur les actifs des utilisateurs contiennent les vérifications de sécurité nécessaires.
Effectuer régulièrement des audits de code et des programmes de récompense pour les bogues afin de détecter et de corriger rapidement les risques potentiels.
Établir un mécanisme de réponse d'urgence capable de réagir rapidement aux éventuels incidents de sécurité.
Cet événement souligne à nouveau l'importance de la sécurité des projets DeFi. Avec le développement continu de l'industrie, les équipes de projet doivent accorder une plus grande attention à la conception et à la mise en œuvre sécurisées des contrats intelligents, afin de protéger la sécurité des actifs des utilisateurs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
9
Reposter
Partager
Commentaire
0/400
MainnetDelayedAgain
· 08-14 02:16
Selon la base de données, c'est le 13ème projet à être enseigné cette année.
Voir l'originalRépondre0
AirdropHunter
· 08-13 12:46
Encore une fois, on m'a arnaqué.
Voir l'originalRépondre0
BearMarketGardener
· 08-12 05:01
Encore un envoyé
Voir l'originalRépondre0
OvertimeSquid
· 08-12 01:52
Encore une faille de contrat ?
Voir l'originalRépondre0
GasFeeNightmare
· 08-11 08:12
Un autre grand projet est tombé à l'eau.
Voir l'originalRépondre0
SigmaBrain
· 08-11 08:11
Encore deux milliards de brisé, c'est trop brutal.
Voir l'originalRépondre0
LiquidityWitch
· 08-11 08:09
mmm... regarder les arts sombres des prêts flash revendiquer une autre âme. le grimoire interdit frappe à nouveau
Voir l'originalRépondre0
SchrodingerAirdrop
· 08-11 08:01
Encore une machine à prendre les gens pour des idiots
Euler Finance a subi une attaque de Prêts Flash entraînant une perte de près de 200 millions de dollars.
Le projet Euler Finance a subi une attaque par prêts flash, entraînant des pertes de près de 200 millions de dollars.
Le 13 mars, le projet Euler Finance a subi une attaque de prêt flash en raison d'une vulnérabilité dans son contrat intelligent, entraînant une perte de fonds d'environ 197 millions de dollars. Cet incident implique 6 types de jetons et est l'une des plus grandes attaques DeFi récentes.
Analyse du processus d'attaque
L'attaquant a d'abord obtenu un prêt flash de 30 millions de DAI d'une plateforme de prêt, puis a déployé deux contrats pour le prêt et la liquidation. L'attaque se divise principalement en plusieurs étapes :
Pledge 20 millions DAI au protocole Euler pour obtenir 19.5 millions eDAI.
Utiliser la fonction de levier 10x du protocole Euler pour emprunter 195,6 millions d'eDAI et 200 millions de dDAI.
Utiliser les 10 millions de DAI restants pour rembourser une partie de la dette et détruire la quantité correspondante de dDAI, puis emprunter à nouveau la même quantité d'eDAI et de dDAI.
Faire un don de 100 millions d'eDAI via la fonction donateToReserves, puis effectuer immédiatement l'opération de liquidation pour obtenir 310 millions de dDAI et 250 millions d'eDAI.
Enfin, extraction de 38,9 millions de DAI, profit d'environ 8,87 millions de DAI après remboursement du Prêt Flash.
Cause de la vulnérabilité
La vulnérabilité centrale de cette attaque réside dans la fonction donateToReserves du protocole Euler qui manque de vérifications de liquidité nécessaires. Contrairement à d'autres fonctions clés comme mint, la fonction donateToReserves n'appelle pas checkLiquidity pour valider la liquidité des utilisateurs. Cela permet aux attaquants de manipuler l'état de leur propre compte pour satisfaire aux conditions de liquidation et ainsi mener l'attaque.
La fonction checkLiquidity appelle généralement le module RiskManager pour s'assurer que le nombre d'Etoken de l'utilisateur est supérieur au nombre de Dtoken. Cependant, en raison du fait que la fonction donateToReserves a sauté cette étape, les attaquants ont pu exploiter cette vulnérabilité pour réaliser d'énormes bénéfices.
Conseils de sécurité
Pour ce type d'attaque, les projets DeFi devraient prêter une attention particulière aux points suivants :
Renforcer l'audit de sécurité des contrats intelligents, en mettant particulièrement l'accent sur les étapes clés telles que le remboursement des fonds, la détection de la liquidité et le règlement des dettes.
Assurez-vous que toutes les fonctions impliquant des opérations sur les actifs des utilisateurs contiennent les vérifications de sécurité nécessaires.
Effectuer régulièrement des audits de code et des programmes de récompense pour les bogues afin de détecter et de corriger rapidement les risques potentiels.
Établir un mécanisme de réponse d'urgence capable de réagir rapidement aux éventuels incidents de sécurité.
Cet événement souligne à nouveau l'importance de la sécurité des projets DeFi. Avec le développement continu de l'industrie, les équipes de projet doivent accorder une plus grande attention à la conception et à la mise en œuvre sécurisées des contrats intelligents, afin de protéger la sécurité des actifs des utilisateurs.