Euler Finance sufrió un ataque de flash loan, con pérdidas de casi 200 millones de dólares.
El 13 de marzo de 2023, un ataque de flash loan contra Euler Finance causó una pérdida masiva de aproximadamente 197 millones de dólares, involucrando 6 tipos de tokens. Este ataque aprovechó una vulnerabilidad en la función donateToReserves del Etoken del proyecto, que carecía de los mecanismos necesarios de verificación de liquidez.
Análisis del proceso de ataque
El atacante primero obtuvo un préstamo de flash de 30 millones de DAI de una plataforma de préstamos, y luego desplegó dos contratos clave: uno para las operaciones de préstamo y otro para la liquidación. El proceso de ataque es aproximadamente el siguiente:
Deposita 20 millones de DAI en el Protocolo Euler para obtener 19.5 millones de eDAI.
Utilizando la función de apalancamiento de 10 veces de Euler Protocol, se prestaron aproximadamente 195.6 millones de eDAI y 200 millones de dDAI.
Usar los restantes 10 millones de DAI para pagar parte de la deuda y destruir el dDAI correspondiente.
Volver a prestar la misma cantidad de eDAI y dDAI.
Donar 100 millones de eDAI a través de la función donateToReserves y luego realizar una operación de liquidación para obtener 310 millones de dDAI y 250 millones de eDAI.
Finalmente se retiraron aproximadamente 3890 millones de DAI, y después de reembolsar el Flash Loan, se obtuvieron ganancias de aproximadamente 887 millones de DAI.
Raíz de la vulnerabilidad
El núcleo de este ataque radica en que la función donateToReserves carece de la verificación de liquidez necesaria. A diferencia de la función mint, la función donateToReserves no ejecuta el paso checkLiquidity, que debería haber llamado al módulo RiskManager para garantizar que la cantidad de Etoken del usuario sea mayor que la cantidad de Dtoken.
Esta negligencia permitió a los atacantes manipular el estado de sus propias cuentas para cumplir con las condiciones de liquidación y luego obtener grandes beneficios a través del proceso de liquidación.
Consejos de seguridad
Para abordar este tipo de vulnerabilidades, los proyectos DeFi, especialmente las plataformas de préstamos, deben:
Fortalecer la auditoría de seguridad de los contratos, asegurando que todas las funciones clave contengan las verificaciones de seguridad necesarias.
Prestar especial atención a la seguridad de funciones clave como el reembolso de fondos, la detección de liquidez y la liquidación de deudas.
Implementar múltiples mecanismos de seguridad para evitar pérdidas masivas causadas por fallos de punto único.
Realizar evaluaciones de seguridad y pruebas de estrés de manera regular para identificar y corregir riesgos potenciales a tiempo.
Este incidente destaca nuevamente la importancia de la seguridad de los contratos inteligentes y la necesidad de mantenerse alerta en el rápido desarrollo del ámbito DeFi. Los equipos de proyecto deben aprender de las lecciones y mejorar continuamente las medidas de seguridad para proteger los activos de los usuarios y mantener un desarrollo saludable del ecosistema.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
8
Republicar
Compartir
Comentar
0/400
BloodInStreets
· 08-17 00:00
El mercado de los menos inteligentes ha tocado fondo y ha caído un 50% de caída.
Ver originalesResponder0
BearMarketSunriser
· 08-16 18:41
Otra vez una vulnerabilidad de Flash Loans, mejor me quedo tranquilo.
Euler Finance sufrió un ataque de flash loan con pérdidas cercanas a 200 millones de dólares
Euler Finance sufrió un ataque de flash loan, con pérdidas de casi 200 millones de dólares.
El 13 de marzo de 2023, un ataque de flash loan contra Euler Finance causó una pérdida masiva de aproximadamente 197 millones de dólares, involucrando 6 tipos de tokens. Este ataque aprovechó una vulnerabilidad en la función donateToReserves del Etoken del proyecto, que carecía de los mecanismos necesarios de verificación de liquidez.
Análisis del proceso de ataque
El atacante primero obtuvo un préstamo de flash de 30 millones de DAI de una plataforma de préstamos, y luego desplegó dos contratos clave: uno para las operaciones de préstamo y otro para la liquidación. El proceso de ataque es aproximadamente el siguiente:
Raíz de la vulnerabilidad
El núcleo de este ataque radica en que la función donateToReserves carece de la verificación de liquidez necesaria. A diferencia de la función mint, la función donateToReserves no ejecuta el paso checkLiquidity, que debería haber llamado al módulo RiskManager para garantizar que la cantidad de Etoken del usuario sea mayor que la cantidad de Dtoken.
Esta negligencia permitió a los atacantes manipular el estado de sus propias cuentas para cumplir con las condiciones de liquidación y luego obtener grandes beneficios a través del proceso de liquidación.
Consejos de seguridad
Para abordar este tipo de vulnerabilidades, los proyectos DeFi, especialmente las plataformas de préstamos, deben:
Este incidente destaca nuevamente la importancia de la seguridad de los contratos inteligentes y la necesidad de mantenerse alerta en el rápido desarrollo del ámbito DeFi. Los equipos de proyecto deben aprender de las lecciones y mejorar continuamente las medidas de seguridad para proteger los activos de los usuarios y mantener un desarrollo saludable del ecosistema.