Euler Finance a subi une attaque de prêts flash, avec des pertes de près de 200 millions de dollars.
Le 13 mars, le projet Euler Finance a subi une attaque par prêts flash en raison d'une vulnérabilité dans son contrat intelligent, entraînant une perte d'environ 197 millions de dollars. Cette attaque a impliqué 6 types de jetons et est l'un des plus grands événements de sécurité récents dans le domaine de la DeFi.
Analyse du processus d'attaque
L'attaquant a d'abord obtenu un prêt flash de 30 millions de DAI d'une plateforme de prêt, puis a déployé deux contrats pour le prêt et la liquidation. Le processus d'attaque est généralement le suivant :
Pledger 20 millions DAI au protocole Euler pour obtenir 19,5 millions eDAI.
Utiliser le protocole Euler pour emprunter 195,6 millions d'eDAI et 200 millions de dDAI avec un effet de levier de 10x.
Utiliser les 10 millions de DAI restants pour rembourser une partie de la dette et brûler le dDAI correspondant.
Emprunter à nouveau la même quantité d'eDAI et de dDAI.
Faire un don de 100 millions d'eDAI via la fonction donateToReserves, puis appeler la fonction liquidate pour liquider et obtenir 310 millions de dDAI et 250 millions d'eDAI.
Enfin, extraction de 38,9 millions de DAI, remboursement de 30 millions de Prêts Flash, bénéfice net d'environ 8,87 millions de DAI.
Causes de la vulnérabilité
La clé de cette attaque réside dans le fait que la fonction donateToReserves d'Euler Finance manque de vérifications de liquidité nécessaires. Contrairement à d'autres fonctions comme mint, donateToReserves n'appelle pas la fonction checkLiquidity pour vérifier l'état des actifs de l'utilisateur. Cela permet à l'attaquant de rendre son compte susceptible d'être liquidé via cette fonction, et ainsi de mener à bien l'attaque.
Dans des conditions normales, la fonction checkLiquidity appelle le module RiskManager pour s'assurer que l'eToken de l'utilisateur est supérieur au dToken, afin de maintenir la sécurité du système. Cependant, la fonction donateToReserves a sauté cette étape importante, offrant une opportunité aux attaquants.
Conseils de sécurité
Cet événement souligne encore une fois l'importance de la sécurité des contrats dans les projets DeFi. Pour les projets de prêt, il est particulièrement important de prêter attention aux points suivants :
Assurez-vous que toutes les fonctions impliquant des opérations financières effectuent des vérifications de liquidité adéquates.
Contrôler strictement l'effet de levier d'emprunt des utilisateurs, afin d'éviter les risques systémiques liés à un effet de levier excessif.
Mettre en œuvre de multiples mécanismes de sécurité, tels que la fonction de suspension d'urgence, pour faire face à des événements de sécurité imprévus.
Effectuer un audit complet des contrats, en accordant une attention particulière aux étapes clés telles que le remboursement des fonds, la détection de la liquidité et le règlement des dettes.
Effectuer régulièrement des évaluations de sécurité et des tests de résistance pour détecter et corriger rapidement les vulnérabilités potentielles.
Cet incident d'attaque nous rappelle que, dans le monde en rapide évolution du Web3, la sécurité doit toujours être une priorité. Les équipes de projet devraient investir davantage de ressources dans la sécurité, et les utilisateurs doivent également accroître leur sensibilisation aux risques et participer avec prudence à divers projets DeFi.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
15 J'aime
Récompense
15
6
Partager
Commentaire
0/400
airdrop_whisperer
· Il y a 13h
Une autre a été liquidée. Qui sera la prochaine ?
Voir l'originalRépondre0
MEV_Whisperer
· Il y a 13h
Encore des Prêts Flash, je suis impressionné.
Voir l'originalRépondre0
DogeBachelor
· Il y a 13h
Qui a dit que les plateformes DeFi étaient sûres, qu'il se lève.
Voir l'originalRépondre0
NFT_Therapy
· Il y a 13h
C'est envoyé.
Voir l'originalRépondre0
BoredStaker
· Il y a 13h
Prêts Flash a encore fait des siennes.
Voir l'originalRépondre0
Degen4Breakfast
· Il y a 13h
Encore une machine à prendre les gens pour des idiots
Euler Finance a subi une attaque par Prêts Flash, entraînant une perte de près de 200 millions de dollars.
Euler Finance a subi une attaque de prêts flash, avec des pertes de près de 200 millions de dollars.
Le 13 mars, le projet Euler Finance a subi une attaque par prêts flash en raison d'une vulnérabilité dans son contrat intelligent, entraînant une perte d'environ 197 millions de dollars. Cette attaque a impliqué 6 types de jetons et est l'un des plus grands événements de sécurité récents dans le domaine de la DeFi.
Analyse du processus d'attaque
L'attaquant a d'abord obtenu un prêt flash de 30 millions de DAI d'une plateforme de prêt, puis a déployé deux contrats pour le prêt et la liquidation. Le processus d'attaque est généralement le suivant :
Pledger 20 millions DAI au protocole Euler pour obtenir 19,5 millions eDAI.
Utiliser le protocole Euler pour emprunter 195,6 millions d'eDAI et 200 millions de dDAI avec un effet de levier de 10x.
Utiliser les 10 millions de DAI restants pour rembourser une partie de la dette et brûler le dDAI correspondant.
Emprunter à nouveau la même quantité d'eDAI et de dDAI.
Faire un don de 100 millions d'eDAI via la fonction donateToReserves, puis appeler la fonction liquidate pour liquider et obtenir 310 millions de dDAI et 250 millions d'eDAI.
Enfin, extraction de 38,9 millions de DAI, remboursement de 30 millions de Prêts Flash, bénéfice net d'environ 8,87 millions de DAI.
Causes de la vulnérabilité
La clé de cette attaque réside dans le fait que la fonction donateToReserves d'Euler Finance manque de vérifications de liquidité nécessaires. Contrairement à d'autres fonctions comme mint, donateToReserves n'appelle pas la fonction checkLiquidity pour vérifier l'état des actifs de l'utilisateur. Cela permet à l'attaquant de rendre son compte susceptible d'être liquidé via cette fonction, et ainsi de mener à bien l'attaque.
Dans des conditions normales, la fonction checkLiquidity appelle le module RiskManager pour s'assurer que l'eToken de l'utilisateur est supérieur au dToken, afin de maintenir la sécurité du système. Cependant, la fonction donateToReserves a sauté cette étape importante, offrant une opportunité aux attaquants.
Conseils de sécurité
Cet événement souligne encore une fois l'importance de la sécurité des contrats dans les projets DeFi. Pour les projets de prêt, il est particulièrement important de prêter attention aux points suivants :
Assurez-vous que toutes les fonctions impliquant des opérations financières effectuent des vérifications de liquidité adéquates.
Contrôler strictement l'effet de levier d'emprunt des utilisateurs, afin d'éviter les risques systémiques liés à un effet de levier excessif.
Mettre en œuvre de multiples mécanismes de sécurité, tels que la fonction de suspension d'urgence, pour faire face à des événements de sécurité imprévus.
Effectuer un audit complet des contrats, en accordant une attention particulière aux étapes clés telles que le remboursement des fonds, la détection de la liquidité et le règlement des dettes.
Effectuer régulièrement des évaluations de sécurité et des tests de résistance pour détecter et corriger rapidement les vulnérabilités potentielles.
Cet incident d'attaque nous rappelle que, dans le monde en rapide évolution du Web3, la sécurité doit toujours être une priorité. Les équipes de projet devraient investir davantage de ressources dans la sécurité, et les utilisateurs doivent également accroître leur sensibilisation aux risques et participer avec prudence à divers projets DeFi.