تعرضت Euler Finance لهجوم القرض الفوري، مما أدى إلى خسارة تقترب من 200 مليون دولار
في 13 مارس 2023، تسبب هجوم القرض الفوري على Euler Finance في خسائر ضخمة تقدر بحوالي 197 مليون دولار، مع وجود 6 أنواع من الرموز. استغل هذا الهجوم الثغرة الموجودة في دالة donateToReserves الخاصة بمشروع Etoken، حيث كانت تفتقر إلى آلية الفحص اللازمة للسيولة.
تحليل عملية الهجوم
قام المهاجم أولاً بالحصول على 30 مليون DAI من القروض السريعة من منصة اقتراض معينة، ثم قام بنشر عقدين رئيسيين: واحد لعمليات الاقتراض، والآخر للتصفية. تسير عملية الهجوم بشكل عام كما يلي:
قم برهن 20 مليون DAI في بروتوكول Euler للحصول على 19.5 مليون eDAI.
استخدم وظيفة الرافعة المالية 10 أضعاف من بروتوكول Euler لاقتراض حوالي 1.956 مليون eDAI و 2 مليون dDAI.
استخدام 10 مليون DAI المتبقية لسداد جزء من الديون، وحرق dDAI المقابل.
اقتراض نفس الكمية من eDAI و dDAI مرة أخرى.
من خلال وظيفة donateToReserves، تبرع بمبلغ 100 مليون eDAI، ثم قم بإجراء عملية تصفية على الفور للحصول على 310 مليون dDAI و 250 مليون eDAI.
أخيرًا، تم سحب حوالي 3890 ألف DAI، بعد سداد القرض السريع حصل على ربح حوالي 887 ألف DAI.
مصدر الثغرات
تتمثل جوهر هذا الهجوم في أن دالة donateToReserves تفتقر إلى فحص السيولة اللازم. بالمقارنة مع دالة mint، لم تقم دالة donateToReserves بتنفيذ خطوة checkLiquidity، وكان ينبغي أن تستدعي هذه الخطوة وحدة RiskManager لضمان أن عدد Etoken الخاص بالمستخدم أكبر من عدد Dtoken.
هذا الإغفال سمح للمهاجمين بالتلاعب بحالة حساباتهم، مما جعلها تتوافق مع شروط التصفية، ثم الحصول على أرباح ضخمة من خلال عملية التصفية.
نصائح الأمان
فيما يتعلق بهذه الثغرات، يجب على مشاريع DeFi، وخاصة منصات الإقراض، أن:
تعزيز تدقيق أمان العقود، لضمان احتواء جميع الوظائف الأساسية على الفحوصات الأمنية اللازمة.
التركيز بشكل خاص على أمان الوظائف الأساسية مثل سداد الأموال، وكشف السيولة، وتسوية الديون.
تنفيذ آليات أمان متعددة لتجنب الخسائر الضخمة الناتجة عن نقطة فشل واحدة.
إجراء تقييمات أمنية واختبارات ضغط بانتظام لاكتشاف وإصلاح المخاطر المحتملة في الوقت المناسب.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية أمان العقود الذكية وضرورة الحفاظ على اليقظة في مجال DeFi سريع التطور. يجب على فريق المشروع استخلاص الدروس وتحسين تدابير الأمان باستمرار لحماية أصول المستخدمين والحفاظ على التنمية الصحية للنظام البيئي.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تعرضت Euler Finance لهجوم القرض الفوري بخسائر تقارب 200 مليون دولار
تعرضت Euler Finance لهجوم القرض الفوري، مما أدى إلى خسارة تقترب من 200 مليون دولار
في 13 مارس 2023، تسبب هجوم القرض الفوري على Euler Finance في خسائر ضخمة تقدر بحوالي 197 مليون دولار، مع وجود 6 أنواع من الرموز. استغل هذا الهجوم الثغرة الموجودة في دالة donateToReserves الخاصة بمشروع Etoken، حيث كانت تفتقر إلى آلية الفحص اللازمة للسيولة.
تحليل عملية الهجوم
قام المهاجم أولاً بالحصول على 30 مليون DAI من القروض السريعة من منصة اقتراض معينة، ثم قام بنشر عقدين رئيسيين: واحد لعمليات الاقتراض، والآخر للتصفية. تسير عملية الهجوم بشكل عام كما يلي:
مصدر الثغرات
تتمثل جوهر هذا الهجوم في أن دالة donateToReserves تفتقر إلى فحص السيولة اللازم. بالمقارنة مع دالة mint، لم تقم دالة donateToReserves بتنفيذ خطوة checkLiquidity، وكان ينبغي أن تستدعي هذه الخطوة وحدة RiskManager لضمان أن عدد Etoken الخاص بالمستخدم أكبر من عدد Dtoken.
هذا الإغفال سمح للمهاجمين بالتلاعب بحالة حساباتهم، مما جعلها تتوافق مع شروط التصفية، ثم الحصول على أرباح ضخمة من خلال عملية التصفية.
نصائح الأمان
فيما يتعلق بهذه الثغرات، يجب على مشاريع DeFi، وخاصة منصات الإقراض، أن:
تسلط هذه الحادثة الضوء مرة أخرى على أهمية أمان العقود الذكية وضرورة الحفاظ على اليقظة في مجال DeFi سريع التطور. يجب على فريق المشروع استخلاص الدروس وتحسين تدابير الأمان باستمرار لحماية أصول المستخدمين والحفاظ على التنمية الصحية للنظام البيئي.