Proyek Euler Finance mengalami flash loan attack, mengalami kerugian hampir 200 juta dolar.
Pada 13 Maret, proyek Euler Finance mengalami serangan pinjaman flash akibat kerentanan kontrak pintar, yang mengakibatkan kerugian dana sekitar 197 juta USD. Peristiwa ini melibatkan 6 jenis token dan merupakan salah satu serangan DeFi terbesar baru-baru ini.
Analisis Proses Serangan
Penyerang pertama-tama mendapatkan Pinjaman Flash sebesar 30 juta DAI dari suatu platform peminjaman, kemudian menerapkan dua kontrak untuk peminjaman dan likuidasi. Serangan ini terutama dibagi menjadi beberapa langkah berikut:
Menyimpan 20 juta DAI di Protokol Euler untuk mendapatkan 19,5 juta eDAI.
Memanfaatkan fitur leverage 10x dari Protokol Euler, meminjam 195,6 juta eDAI dan 200 juta dDAI.
Menggunakan sisa 10 juta DAI untuk membayar sebagian utang dan menghancurkan dDAI yang sesuai, kemudian meminjam kembali jumlah yang sama dari eDAI dan dDAI.
Melalui fungsi donateToReserves,捐赠 1亿eDAI, dan segera melakukan operasi likuidasi, mendapatkan 3.1亿dDAI dan 2.5亿eDAI.
Terakhir, menarik 38,9 juta DAI, setelah membayar kembali Pinjaman Flash, memperoleh keuntungan sekitar 8,87 juta DAI.
Penyebab Kerentanan
Kelemahan inti dari serangan ini terletak pada fungsi donateToReserves dari Protokol Euler yang kurang memadai dalam pemeriksaan likuiditas yang diperlukan. Berbeda dengan fungsi kunci lainnya seperti mint, fungsi donateToReserves tidak memanggil checkLiquidity untuk memverifikasi likuiditas pengguna. Ini memungkinkan penyerang untuk memanipulasi status akun mereka sendiri sehingga memenuhi syarat untuk dilikuidasi, yang kemudian memungkinkan mereka untuk melaksanakan serangan.
fungsi checkLiquidity biasanya akan memanggil modul RiskManager, memastikan jumlah Etoken pengguna lebih besar dari jumlah Dtoken. Namun, karena fungsi donateToReserves melewatkan langkah ini, penyerang dapat memanfaatkan celah ini untuk mendapatkan keuntungan besar.
Saran Keamanan
Untuk serangan semacam ini, proyek DeFi harus memperhatikan hal-hal berikut:
Memperkuat audit keamanan kontrak pintar, terutama fokus pada pengembalian dana, deteksi likuiditas, dan penyelesaian utang.
Pastikan semua fungsi yang melibatkan operasi aset pengguna memiliki pemeriksaan keamanan yang diperlukan.
Secara berkala melakukan audit kode dan program hadiah bug untuk menemukan dan memperbaiki risiko potensial dengan cepat.
Membangun mekanisme respons darurat yang dapat dengan cepat menangani kemungkinan kejadian keamanan.
Peristiwa ini sekali lagi menekankan pentingnya keamanan proyek DeFi. Seiring dengan perkembangan industri yang terus berlangsung, pihak proyek perlu lebih memperhatikan desain dan implementasi keamanan kontrak pintar untuk melindungi keamanan aset pengguna.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
9
Posting ulang
Bagikan
Komentar
0/400
MainnetDelayedAgain
· 08-14 02:16
Menurut database, ini adalah proyek ke-13 yang diajarkan untuk menjadi manusia tahun ini.
Lihat AsliBalas0
AirdropHunter
· 08-13 12:46
Sekali lagi dicukur
Lihat AsliBalas0
BearMarketGardener
· 08-12 05:01
Satu lagi yang dikirim
Lihat AsliBalas0
OvertimeSquid
· 08-12 01:52
Apakah ini celah kontrak lagi?
Lihat AsliBalas0
GasFeeNightmare
· 08-11 08:12
Satu proyek besar lagi gagal.
Lihat AsliBalas0
SigmaBrain
· 08-11 08:11
Sudah melewati dua ratus juta lagi, sangat gila.
Lihat AsliBalas0
LiquidityWitch
· 08-11 08:09
mmm... menyaksikan seni gelap dari pinjaman kilat mengklaim jiwa lain. buku sihir terlarang menyerang lagi
Euler Finance mengalami serangan pinjaman flash dengan kerugian dana hampir 200 juta dolar.
Proyek Euler Finance mengalami flash loan attack, mengalami kerugian hampir 200 juta dolar.
Pada 13 Maret, proyek Euler Finance mengalami serangan pinjaman flash akibat kerentanan kontrak pintar, yang mengakibatkan kerugian dana sekitar 197 juta USD. Peristiwa ini melibatkan 6 jenis token dan merupakan salah satu serangan DeFi terbesar baru-baru ini.
Analisis Proses Serangan
Penyerang pertama-tama mendapatkan Pinjaman Flash sebesar 30 juta DAI dari suatu platform peminjaman, kemudian menerapkan dua kontrak untuk peminjaman dan likuidasi. Serangan ini terutama dibagi menjadi beberapa langkah berikut:
Menyimpan 20 juta DAI di Protokol Euler untuk mendapatkan 19,5 juta eDAI.
Memanfaatkan fitur leverage 10x dari Protokol Euler, meminjam 195,6 juta eDAI dan 200 juta dDAI.
Menggunakan sisa 10 juta DAI untuk membayar sebagian utang dan menghancurkan dDAI yang sesuai, kemudian meminjam kembali jumlah yang sama dari eDAI dan dDAI.
Melalui fungsi donateToReserves,捐赠 1亿eDAI, dan segera melakukan operasi likuidasi, mendapatkan 3.1亿dDAI dan 2.5亿eDAI.
Terakhir, menarik 38,9 juta DAI, setelah membayar kembali Pinjaman Flash, memperoleh keuntungan sekitar 8,87 juta DAI.
Penyebab Kerentanan
Kelemahan inti dari serangan ini terletak pada fungsi donateToReserves dari Protokol Euler yang kurang memadai dalam pemeriksaan likuiditas yang diperlukan. Berbeda dengan fungsi kunci lainnya seperti mint, fungsi donateToReserves tidak memanggil checkLiquidity untuk memverifikasi likuiditas pengguna. Ini memungkinkan penyerang untuk memanipulasi status akun mereka sendiri sehingga memenuhi syarat untuk dilikuidasi, yang kemudian memungkinkan mereka untuk melaksanakan serangan.
fungsi checkLiquidity biasanya akan memanggil modul RiskManager, memastikan jumlah Etoken pengguna lebih besar dari jumlah Dtoken. Namun, karena fungsi donateToReserves melewatkan langkah ini, penyerang dapat memanfaatkan celah ini untuk mendapatkan keuntungan besar.
Saran Keamanan
Untuk serangan semacam ini, proyek DeFi harus memperhatikan hal-hal berikut:
Memperkuat audit keamanan kontrak pintar, terutama fokus pada pengembalian dana, deteksi likuiditas, dan penyelesaian utang.
Pastikan semua fungsi yang melibatkan operasi aset pengguna memiliki pemeriksaan keamanan yang diperlukan.
Secara berkala melakukan audit kode dan program hadiah bug untuk menemukan dan memperbaiki risiko potensial dengan cepat.
Membangun mekanisme respons darurat yang dapat dengan cepat menangani kemungkinan kejadian keamanan.
Peristiwa ini sekali lagi menekankan pentingnya keamanan proyek DeFi. Seiring dengan perkembangan industri yang terus berlangsung, pihak proyek perlu lebih memperhatikan desain dan implementasi keamanan kontrak pintar untuk melindungi keamanan aset pengguna.