Saldırgan önce bir borç verme platformundan 30 milyon DAI tutarında Flaş Krediler aldı, ardından iki ana sözleşme dağıttı: biri borç verme işlemleri için, diğeri ise tasfiye için. Saldırı süreci genel olarak şöyle:
20 milyon DAI'yi Euler Protocol'e teminat olarak yatırın, 19.5 milyon eDAI kazanın.
Euler Protocol'un 10 kat kaldıraç fonksiyonunu kullanarak yaklaşık 1.956 milyon eDAI ve 2 milyon dDAI borç aldım.
Kalan 10 milyon DAI ile borcun bir kısmını geri ödeyin, ilgili dDAI'yi imha edin.
Eşit miktarda eDAI ve dDAI tekrar borç verin.
donateToReserves fonksiyonu aracılığıyla 100 milyon eDAI bağışlayın ve ardından 310 milyon dDAI ve 250 milyon eDAI elde etmek için tasfiye işlemini gerçekleştirin.
Son olarak yaklaşık 38.9 milyon DAI çekildi, flaş krediler geri ödendikten sonra yaklaşık 8.87 milyon DAI kâr elde edildi.
Açığın Kaynağı
Bu saldırının temelinde donateToReserves fonksiyonunun gerekli likidite kontrolünü yapmaması yatmaktadır. mint fonksiyonu ile karşılaştırıldığında, donateToReserves fonksiyonu checkLiquidity adımını gerçekleştirmemektedir; bu adım, kullanıcıların Etoken miktarının Dtoken miktarından büyük olduğunu garanti etmek için RiskManager modülünü çağırmalıdır.
Bu ihmal, saldırganların kendi hesap durumlarını manipüle etmelerine ve tasfiye koşullarını sağlamalarına olanak tanıdı, ardından tasfiye süreci aracılığıyla büyük kar elde ettiler.
Güvenlik Önerileri
Bu tür açıklar için, DeFi projeleri özellikle kredi verme platformları şunları yapmalıdır:
Sözleşme güvenlik denetimini güçlendirin, tüm anahtar fonksiyonların gerekli güvenlik kontrollerini içerdiğinden emin olun.
Özellikle fon geri ödemesi, likidite tespiti ve borç tasfiyesi gibi temel işlevlerin güvenliğine dikkat edilmelidir.
Tek noktada arıza nedeniyle büyük kayıpları önlemek için çoklu güvenlik mekanizmaları uygulayın.
Düzenli olarak güvenlik değerlendirmeleri ve stres testleri yaparak potansiyel riskleri zamanında tespit edip düzeltin.
Bu olay, akıllı sözleşmelerin güvenliğinin önemini ve hızla gelişen DeFi alanında dikkatli olmanın gerekliliğini bir kez daha vurgulamaktadır. Proje sahipleri ders çıkarmalı ve güvenlik önlemlerini sürekli olarak geliştirmelidir, böylece kullanıcı varlıklarını koruyabilir ve ekosistemin sağlıklı gelişimini sürdürebilirler.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
10 Likes
Reward
10
4
Repost
Share
Comment
0/400
BloodInStreets
· 08-17 00:00
Zayıf akıllı piyasa dip seviyesini anladı, %50 Çökme.
View OriginalReply0
BearMarketSunriser
· 08-16 18:41
Yine Flaş Krediler açığı, ben yine uslu uslu yatıyorum.
Euler Finance flaş kredi saldırısı sonucunda yaklaşık 2 milyar dolar kaybetti.
Euler Finance flaş kredi̇ saldirisi ile karşılaştı, kayıp neredeyse 2 milyon dolar.
2023年3月13日,一场针对Euler Finance的flaş kredi̇ saldirisi造成了约1.97亿美元的巨额损失,涉及6种代币。这次攻击利用了项目中Etoken的donateToReserves函数存在的漏洞,该函数缺乏必要的流动性检查机制。
Saldırı Süreci Analizi
Saldırgan önce bir borç verme platformundan 30 milyon DAI tutarında Flaş Krediler aldı, ardından iki ana sözleşme dağıttı: biri borç verme işlemleri için, diğeri ise tasfiye için. Saldırı süreci genel olarak şöyle:
Açığın Kaynağı
Bu saldırının temelinde donateToReserves fonksiyonunun gerekli likidite kontrolünü yapmaması yatmaktadır. mint fonksiyonu ile karşılaştırıldığında, donateToReserves fonksiyonu checkLiquidity adımını gerçekleştirmemektedir; bu adım, kullanıcıların Etoken miktarının Dtoken miktarından büyük olduğunu garanti etmek için RiskManager modülünü çağırmalıdır.
Bu ihmal, saldırganların kendi hesap durumlarını manipüle etmelerine ve tasfiye koşullarını sağlamalarına olanak tanıdı, ardından tasfiye süreci aracılığıyla büyük kar elde ettiler.
Güvenlik Önerileri
Bu tür açıklar için, DeFi projeleri özellikle kredi verme platformları şunları yapmalıdır:
Bu olay, akıllı sözleşmelerin güvenliğinin önemini ve hızla gelişen DeFi alanında dikkatli olmanın gerekliliğini bir kez daha vurgulamaktadır. Proje sahipleri ders çıkarmalı ve güvenlik önlemlerini sürekli olarak geliştirmelidir, böylece kullanıcı varlıklarını koruyabilir ve ekosistemin sağlıklı gelişimini sürdürebilirler.