Dự án Euler Finance bị cuộc tấn công cho vay chớp nhoáng, thiệt hại gần 200 triệu USD
Vào ngày 13 tháng 3, dự án Euler Finance đã bị tấn công cho vay chớp nhoáng do lỗ hổng trong hợp đồng thông minh, dẫn đến tổn thất khoảng 197 triệu USD. Sự kiện này liên quan đến 6 loại token, là một trong những cuộc tấn công DeFi lớn nhất gần đây.
Phân tích quá trình tấn công
Kẻ tấn công trước tiên lấy khoản vay nhanh trị giá 30 triệu DAI từ một nền tảng cho vay, sau đó triển khai hai hợp đồng cho vay và thanh lý. Cuộc tấn công chủ yếu được chia thành các bước sau:
Đặt 20 triệu DAI vào giao thức Euler để nhận 19,5 triệu eDAI.
Sử dụng tính năng đòn bẩy 10 lần của Giao thức Euler, cho vay 1.956 triệu eDAI và 2 triệu dDAI.
Sử dụng 10 triệu DAI còn lại để trả một phần nợ và tiêu hủy lượng dDAI tương ứng, sau đó lại vay ra số lượng eDAI và dDAI tương đương.
Thông qua hàm donateToReserves, quyên góp 100 triệu eDAI và ngay lập tức thực hiện hoạt động thanh lý, nhận được 310 triệu dDAI và 250 triệu eDAI.
Cuối cùng rút 38,9 triệu DAI, sau khi hoàn trả khoản vay nhanh thu lợi khoảng 8,87 triệu DAI.
Nguyên nhân lỗ hổng
Lỗ hổng cốt lõi của cuộc tấn công này nằm ở việc hàm donateToReserves của Euler Protocol thiếu kiểm tra thanh khoản cần thiết. So với các hàm quan trọng khác như mint, hàm donateToReserves không gọi checkLiquidity để xác minh thanh khoản của người dùng. Điều này cho phép kẻ tấn công thao túng trạng thái tài khoản của mình để đáp ứng các điều kiện bị thanh lý, từ đó thực hiện cuộc tấn công.
Hàm checkLiquidity thường sẽ gọi mô-đun RiskManager, đảm bảo rằng số lượng Etoken của người dùng lớn hơn số lượng Dtoken. Tuy nhiên, do hàm donateToReserves đã bỏ qua bước này, kẻ tấn công đã lợi dụng lỗ hổng này để thu được lợi nhuận khổng lồ.
Gợi ý an toàn
Để đối phó với các cuộc tấn công như vậy, các dự án DeFi cần đặc biệt chú ý đến những điểm sau:
Tăng cường kiểm toán an ninh hợp đồng thông minh, đặc biệt chú ý đến các khâu quan trọng như hoàn trả vốn, kiểm tra thanh khoản và thanh lý nợ.
Đảm bảo rằng tất cả các hàm liên quan đến thao tác tài sản của người dùng đều có các kiểm tra an ninh cần thiết.
Thực hiện kiểm tra mã định kỳ và chương trình thưởng phát hiện lỗ hổng, kịp thời phát hiện và sửa chữa các rủi ro tiềm ẩn.
Thiết lập cơ chế phản ứng khẩn cấp, có khả năng ứng phó nhanh chóng với các sự kiện an ninh có thể xảy ra.
Sự kiện này lại nhấn mạnh tầm quan trọng của tính an toàn trong các dự án DeFi. Khi ngành công nghiệp tiếp tục phát triển, các nhà phát triển dự án cần chú trọng hơn đến việc thiết kế và thực hiện an toàn hợp đồng thông minh để bảo vệ tài sản của người dùng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
9
Đăng lại
Chia sẻ
Bình luận
0/400
MainnetDelayedAgain
· 08-14 02:16
Theo dữ liệu từ cơ sở dữ liệu, đây là dự án thứ 13 được giáo dục về con người trong năm nay.
Xem bản gốcTrả lời0
AirdropHunter
· 08-13 12:46
Lại bị cắt xén một lần nữa
Xem bản gốcTrả lời0
BearMarketGardener
· 08-12 05:01
Một cái nữa đã gửi đi
Xem bản gốcTrả lời0
OvertimeSquid
· 08-12 01:52
Lại là lỗ hổng hợp đồng?
Xem bản gốcTrả lời0
GasFeeNightmare
· 08-11 08:12
Một dự án lớn nữa đã thất bại.
Xem bản gốcTrả lời0
SigmaBrain
· 08-11 08:11
Đã vượt hai trăm triệu rồi, thật là khủng khiếp.
Xem bản gốcTrả lời0
LiquidityWitch
· 08-11 08:09
mmm... xem những nghệ thuật đen tối của flash loans lại cướp đi một linh hồn. cuốn sách cấm lại tấn công.
Euler Finance遭 cuộc tấn công cho vay chớp nhoáng 近2亿美元资金损失
Dự án Euler Finance bị cuộc tấn công cho vay chớp nhoáng, thiệt hại gần 200 triệu USD
Vào ngày 13 tháng 3, dự án Euler Finance đã bị tấn công cho vay chớp nhoáng do lỗ hổng trong hợp đồng thông minh, dẫn đến tổn thất khoảng 197 triệu USD. Sự kiện này liên quan đến 6 loại token, là một trong những cuộc tấn công DeFi lớn nhất gần đây.
Phân tích quá trình tấn công
Kẻ tấn công trước tiên lấy khoản vay nhanh trị giá 30 triệu DAI từ một nền tảng cho vay, sau đó triển khai hai hợp đồng cho vay và thanh lý. Cuộc tấn công chủ yếu được chia thành các bước sau:
Đặt 20 triệu DAI vào giao thức Euler để nhận 19,5 triệu eDAI.
Sử dụng tính năng đòn bẩy 10 lần của Giao thức Euler, cho vay 1.956 triệu eDAI và 2 triệu dDAI.
Sử dụng 10 triệu DAI còn lại để trả một phần nợ và tiêu hủy lượng dDAI tương ứng, sau đó lại vay ra số lượng eDAI và dDAI tương đương.
Thông qua hàm donateToReserves, quyên góp 100 triệu eDAI và ngay lập tức thực hiện hoạt động thanh lý, nhận được 310 triệu dDAI và 250 triệu eDAI.
Cuối cùng rút 38,9 triệu DAI, sau khi hoàn trả khoản vay nhanh thu lợi khoảng 8,87 triệu DAI.
Nguyên nhân lỗ hổng
Lỗ hổng cốt lõi của cuộc tấn công này nằm ở việc hàm donateToReserves của Euler Protocol thiếu kiểm tra thanh khoản cần thiết. So với các hàm quan trọng khác như mint, hàm donateToReserves không gọi checkLiquidity để xác minh thanh khoản của người dùng. Điều này cho phép kẻ tấn công thao túng trạng thái tài khoản của mình để đáp ứng các điều kiện bị thanh lý, từ đó thực hiện cuộc tấn công.
Hàm checkLiquidity thường sẽ gọi mô-đun RiskManager, đảm bảo rằng số lượng Etoken của người dùng lớn hơn số lượng Dtoken. Tuy nhiên, do hàm donateToReserves đã bỏ qua bước này, kẻ tấn công đã lợi dụng lỗ hổng này để thu được lợi nhuận khổng lồ.
Gợi ý an toàn
Để đối phó với các cuộc tấn công như vậy, các dự án DeFi cần đặc biệt chú ý đến những điểm sau:
Tăng cường kiểm toán an ninh hợp đồng thông minh, đặc biệt chú ý đến các khâu quan trọng như hoàn trả vốn, kiểm tra thanh khoản và thanh lý nợ.
Đảm bảo rằng tất cả các hàm liên quan đến thao tác tài sản của người dùng đều có các kiểm tra an ninh cần thiết.
Thực hiện kiểm tra mã định kỳ và chương trình thưởng phát hiện lỗ hổng, kịp thời phát hiện và sửa chữa các rủi ro tiềm ẩn.
Thiết lập cơ chế phản ứng khẩn cấp, có khả năng ứng phó nhanh chóng với các sự kiện an ninh có thể xảy ra.
Sự kiện này lại nhấn mạnh tầm quan trọng của tính an toàn trong các dự án DeFi. Khi ngành công nghiệp tiếp tục phát triển, các nhà phát triển dự án cần chú trọng hơn đến việc thiết kế và thực hiện an toàn hợp đồng thông minh để bảo vệ tài sản của người dùng.