Euler Finance, flaş kredi saldırısı ile karşılaştı, yaklaşık 200 milyon dolar kaybetti.
13 Mart 2023'te, Euler Finance projesi akıllı sözleşme açığı nedeniyle flaş kredi saldırısına uğradı ve yaklaşık 197 milyon dolar kayıp yaşandı. Saldırgan, sözleşmedeki donateToReserves fonksiyonundaki likidite kontrolü eksikliğinden faydalanarak, birden fazla işlem yaparak büyük kâr elde etti.
Saldırı Süreci Analizi
Saldırgan önce bir borç verme platformundan 30 milyon DAI miktarında Flaş Krediler aldı ve iki sözleşme dağıttı: borç verme sözleşmesi ve tasfiye sözleşmesi.
Borç alınan DAI'nin 20 milyonunu Euler Protocol sözleşmesine teminat olarak yatırın, yaklaşık 19.5 milyon eDAI elde edin.
Euler Protocol'ün 10 kat kaldıraç özelliğini kullanarak 1.956 milyon eDAI ve 2 milyon dDAI ödünç alın.
Kalan 10 milyon DAI'yi kısmi borçları geri ödemek ve ilgili dDAI'yi imha etmek için kullanın, ardından aynı miktarda eDAI ve dDAI'yi tekrar borç alın.
donateToReserves fonksiyonunu çağırarak 100 milyon eDAI bağışlayın, ardından liquidate fonksiyonu aracılığıyla tasfiye işlemi gerçekleştirerek 310 milyon dDAI ve 250 milyon eDAI elde edin.
Son olarak 38.9 milyon DAI çekildi, 30 milyon DAI flaş kredisi geri ödendi, net kazanç yaklaşık 8.87 milyon DAI.
Açık Sebebi
Saldırının başarılı olmasının başlıca nedeni, donateToReserves fonksiyonunun gerekli likidite kontrolünden yoksun olmasıdır. Diğer kritik fonksiyonlarla (örneğin mint) karşılaştırıldığında, donateToReserves, kullanıcının likidite durumunu doğrulamak için checkLiquidity fonksiyonunu çağırmamıştır. Bu, saldırganların kendi hesaplarını tasfiye edilebilecek bir duruma manipüle etmelerini ve bundan kâr elde etmelerini sağladı.
Normal koşullarda, checkLiquidity fonksiyonu, kullanıcının Etoken miktarının Dtoken miktarından büyük olmasını sağlamak için RiskManager modülünü çağırır ve böylece hesap sağlığını korur. Ancak, donateToReserves fonksiyonu bu kritik adımı atlayarak saldırı için bir fırsat yaratmıştır.
Dersler ve Öneriler
Bu olay, akıllı sözleşme güvenlik denetimlerinin önemini bir kez daha vurgulamıştır. Borç verme projeleri için özellikle aşağıdaki birkaç noktaya dikkat edilmesi gerekmektedir:
Fon geri ödeme mekanizmasının bütünlüğü
Likidite tespiti kapsamı
Borç Tasfiye Sürecinin Güvenliği
Proje ekibi, sözleşme yayına girmeden önce sözleşmenin güvenliğini ve istikrarını sağlamak için kapsamlı ve titiz bir güvenlik denetimi yapmalıdır. Aynı zamanda, sürekli güvenlik izleme ve zamanında açık onarımları da vazgeçilmezdir.
Merkeziyetsiz finansın hızlı gelişimi ile birlikte, benzer güvenlik olaylarının sürekli olarak ortaya çıkması muhtemeldir. Geliştiricilerin ve proje sahiplerinin dikkatli olmaları, sürekli öğrenmeleri ve geliştirmeleri gerekmektedir; böylece daha güvenli ve güvenilir bir blockchain ekosistemi inşa edebilirler.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
5 Likes
Reward
5
6
Repost
Share
Comment
0/400
ChainComedian
· 8h ago
Yine bir boğa gibi bir projenin başarısızlığı yaşandı.
View OriginalReply0
OfflineNewbie
· 8h ago
enayiler yine insanları enayi yerine koymak!
View OriginalReply0
SmartMoneyWallet
· 8h ago
197 milyon dolar mı? Bu işlem yöntemi çok basit, ancak miktar oldukça büyük.
Euler Finance 2 milyon dolarlık flaş kredi saldırısına uğradı. Akıllı sözleşmelerdeki açık, felaketin nedeni oldu.
Euler Finance, flaş kredi saldırısı ile karşılaştı, yaklaşık 200 milyon dolar kaybetti.
13 Mart 2023'te, Euler Finance projesi akıllı sözleşme açığı nedeniyle flaş kredi saldırısına uğradı ve yaklaşık 197 milyon dolar kayıp yaşandı. Saldırgan, sözleşmedeki donateToReserves fonksiyonundaki likidite kontrolü eksikliğinden faydalanarak, birden fazla işlem yaparak büyük kâr elde etti.
Saldırı Süreci Analizi
Saldırgan önce bir borç verme platformundan 30 milyon DAI miktarında Flaş Krediler aldı ve iki sözleşme dağıttı: borç verme sözleşmesi ve tasfiye sözleşmesi.
Borç alınan DAI'nin 20 milyonunu Euler Protocol sözleşmesine teminat olarak yatırın, yaklaşık 19.5 milyon eDAI elde edin.
Euler Protocol'ün 10 kat kaldıraç özelliğini kullanarak 1.956 milyon eDAI ve 2 milyon dDAI ödünç alın.
Kalan 10 milyon DAI'yi kısmi borçları geri ödemek ve ilgili dDAI'yi imha etmek için kullanın, ardından aynı miktarda eDAI ve dDAI'yi tekrar borç alın.
donateToReserves fonksiyonunu çağırarak 100 milyon eDAI bağışlayın, ardından liquidate fonksiyonu aracılığıyla tasfiye işlemi gerçekleştirerek 310 milyon dDAI ve 250 milyon eDAI elde edin.
Son olarak 38.9 milyon DAI çekildi, 30 milyon DAI flaş kredisi geri ödendi, net kazanç yaklaşık 8.87 milyon DAI.
Açık Sebebi
Saldırının başarılı olmasının başlıca nedeni, donateToReserves fonksiyonunun gerekli likidite kontrolünden yoksun olmasıdır. Diğer kritik fonksiyonlarla (örneğin mint) karşılaştırıldığında, donateToReserves, kullanıcının likidite durumunu doğrulamak için checkLiquidity fonksiyonunu çağırmamıştır. Bu, saldırganların kendi hesaplarını tasfiye edilebilecek bir duruma manipüle etmelerini ve bundan kâr elde etmelerini sağladı.
Normal koşullarda, checkLiquidity fonksiyonu, kullanıcının Etoken miktarının Dtoken miktarından büyük olmasını sağlamak için RiskManager modülünü çağırır ve böylece hesap sağlığını korur. Ancak, donateToReserves fonksiyonu bu kritik adımı atlayarak saldırı için bir fırsat yaratmıştır.
Dersler ve Öneriler
Bu olay, akıllı sözleşme güvenlik denetimlerinin önemini bir kez daha vurgulamıştır. Borç verme projeleri için özellikle aşağıdaki birkaç noktaya dikkat edilmesi gerekmektedir:
Proje ekibi, sözleşme yayına girmeden önce sözleşmenin güvenliğini ve istikrarını sağlamak için kapsamlı ve titiz bir güvenlik denetimi yapmalıdır. Aynı zamanda, sürekli güvenlik izleme ve zamanında açık onarımları da vazgeçilmezdir.
Merkeziyetsiz finansın hızlı gelişimi ile birlikte, benzer güvenlik olaylarının sürekli olarak ortaya çıkması muhtemeldir. Geliştiricilerin ve proje sahiplerinin dikkatli olmaları, sürekli öğrenmeleri ve geliştirmeleri gerekmektedir; böylece daha güvenli ve güvenilir bir blockchain ekosistemi inşa edebilirler.