Euler Finance mengalami flash loan attack, kehilangan hampir 200 juta dolar
Pada 13 Maret 2023, sebuah flash loan attack terhadap Euler Finance menyebabkan kerugian besar sekitar 197 juta USD, melibatkan 6 jenis token. Serangan ini memanfaatkan celah dalam fungsi donateToReserves pada proyek tersebut, yang kekurangan mekanisme pemeriksaan likuiditas yang diperlukan.
Analisis Proses Serangan
Penyerang pertama-tama memperoleh Pinjaman Flash sebesar 30 juta DAI dari suatu platform pinjaman, kemudian menerapkan dua kontrak kunci: satu untuk operasi pinjaman, dan yang lainnya untuk likuidasi. Proses serangan secara umum adalah sebagai berikut:
Mengunci 20 juta DAI di Protokol Euler, mendapatkan 19,5 juta eDAI.
Memanfaatkan fitur leverage 10x dari Protokol Euler, meminjam sekitar 1,956 juta eDAI dan 2 juta dDAI.
Menggunakan sisa 10 juta DAI untuk membayar sebagian utang, menghancurkan dDAI yang sesuai.
Meminjamkan kembali jumlah eDAI dan dDAI yang sama.
Donasi 100 juta eDAI melalui fungsi donateToReserves, dan segera lakukan operasi likuidasi untuk memperoleh 310 juta dDAI dan 250 juta eDAI.
Terakhir, tarik sekitar 38,9 juta DAI, setelah membayar kembali Pinjaman Flash, memperoleh keuntungan sekitar 8,87 juta DAI.
Sumber Kerentanan
Inti dari serangan ini adalah fungsi donateToReserves yang kurang melakukan pemeriksaan likuiditas yang diperlukan. Berbeda dengan fungsi mint, fungsi donateToReserves tidak menjalankan langkah checkLiquidity, yang seharusnya memanggil modul RiskManager untuk memastikan jumlah Etoken pengguna lebih besar dari jumlah Dtoken.
Kelalaian ini memungkinkan penyerang untuk memanipulasi status akun mereka sendiri agar memenuhi syarat untuk dilikuidasi, kemudian mendapatkan keuntungan besar melalui proses likuidasi.
Saran Keamanan
Untuk mengatasi kerentanan seperti ini, proyek DeFi terutama platform pinjaman harus:
Memperkuat audit keamanan kontrak, memastikan semua fungsi kunci mencakup pemeriksaan keamanan yang diperlukan.
Perhatikan keamanan fungsi inti seperti pengembalian dana, deteksi likuiditas, dan pelunasan utang.
Menerapkan mekanisme keamanan ganda untuk menghindari kerugian besar yang disebabkan oleh kegagalan titik tunggal.
Secara berkala melakukan penilaian keamanan dan pengujian tekanan, untuk segera menemukan dan memperbaiki risiko potensial.
Kejadian ini sekali lagi menyoroti pentingnya keamanan kontrak pintar dan perlunya tetap waspada di bidang DeFi yang berkembang pesat. Pihak proyek harus mengambil pelajaran, terus memperbaiki langkah-langkah keamanan untuk melindungi aset pengguna dan menjaga perkembangan ekosistem yang sehat.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Euler Finance terkena flash loan attack dengan kerugian hampir 200 juta dolar AS
Euler Finance mengalami flash loan attack, kehilangan hampir 200 juta dolar
Pada 13 Maret 2023, sebuah flash loan attack terhadap Euler Finance menyebabkan kerugian besar sekitar 197 juta USD, melibatkan 6 jenis token. Serangan ini memanfaatkan celah dalam fungsi donateToReserves pada proyek tersebut, yang kekurangan mekanisme pemeriksaan likuiditas yang diperlukan.
Analisis Proses Serangan
Penyerang pertama-tama memperoleh Pinjaman Flash sebesar 30 juta DAI dari suatu platform pinjaman, kemudian menerapkan dua kontrak kunci: satu untuk operasi pinjaman, dan yang lainnya untuk likuidasi. Proses serangan secara umum adalah sebagai berikut:
Sumber Kerentanan
Inti dari serangan ini adalah fungsi donateToReserves yang kurang melakukan pemeriksaan likuiditas yang diperlukan. Berbeda dengan fungsi mint, fungsi donateToReserves tidak menjalankan langkah checkLiquidity, yang seharusnya memanggil modul RiskManager untuk memastikan jumlah Etoken pengguna lebih besar dari jumlah Dtoken.
Kelalaian ini memungkinkan penyerang untuk memanipulasi status akun mereka sendiri agar memenuhi syarat untuk dilikuidasi, kemudian mendapatkan keuntungan besar melalui proses likuidasi.
Saran Keamanan
Untuk mengatasi kerentanan seperti ini, proyek DeFi terutama platform pinjaman harus:
Kejadian ini sekali lagi menyoroti pentingnya keamanan kontrak pintar dan perlunya tetap waspada di bidang DeFi yang berkembang pesat. Pihak proyek harus mengambil pelajaran, terus memperbaiki langkah-langkah keamanan untuk melindungi aset pengguna dan menjaga perkembangan ekosistem yang sehat.