Euler Finance flaş kredi saldırısına uğradı, yaklaşık 200 milyon dolar kayıp
13 Mart'ta, Euler Finance projesi akıllı sözleşmelerindeki bir güvenlik açığı nedeniyle flaş kredi saldırısına uğradı ve yaklaşık 197 milyon dolar kayba neden oldu. Bu saldırı 6 farklı kripto para token'ını içeriyordu.
Saldırı Süreci Analizi
Saldırgan öncelikle bir borç verme platformundan 30 milyon DAI tutarında Flaş Krediler aldı ve iki ana sözleşme dağıttı: biri borç verme işlemleri için, diğeri ise tasfiye için.
Ardından, saldırgan Euler Protocol sözleşmesine 20 milyon DAI teminat yatırarak yaklaşık 19.5 milyon eDAI aldı. Euler Protocol'ün 10 kat kaldıraç özelliğini kullanarak, saldırgan 195.6 milyon eDAI ve 200 milyon dDAI daha borç aldı.
Ardından, saldırgan kalan 10 milyon DAI ile borcun bir kısmını geri ödeyerek ilgili dDAI'yi yok etti. Sonra aynı miktarda eDAI ve dDAI'yi tekrar borç aldı.
Ana adım, saldırganın donateToReserves fonksiyonundaki açığı kullanarak, geri ödeme miktarının 10 katı kadar, yani 100 milyon eDAI bağışlamasıdır. Bu işlem, saldırganın tasfiye mekanizmasını tetiklemesine ve böylece 310 milyon dDAI ve 250 milyon eDAI elde etmesine olanak tanımıştır.
Sonunda, saldırgan çekim fonksiyonu aracılığıyla 38.9 milyon DAI elde etti, 30 milyon DAI'lik Flaş Krediler'i geri ödedi ve nihayetinde yaklaşık 8.87 milyon DAI kâr elde etti.
Açık Analizi
Bu saldırının temel açığı, Euler Finance'in donateToReserves fonksiyonunun gerekli likidite kontrollerinden yoksun olmasıdır. Diğer kritik fonksiyonlarla (örneğin mint fonksiyonu) karşılaştırıldığında, donateToReserves fonksiyonu kullanıcı likiditesini doğrulamak için checkLiquidity'i çağırmamaktadır.
Normal şartlar altında, checkLiquidity fonksiyonu, kullanıcıların eToken miktarının dToken miktarından fazla olmasını sağlamak için RiskManager modülünü arayarak sistemin güvenliğini sağlamalıdır. Ancak, donateToReserves fonksiyonunun bu kritik adımı atlaması nedeniyle, saldırgan kendi hesap durumunu manipüle ederek tasfiye edilme koşullarını yerine getirip tasfiyeden kar elde edebilmektedir.
Güvenlik Önerileri
Bu tür saldırılara karşı, blok zinciri projelerine şunları öneriyoruz:
Akıllı sözleşme hayata geçmeden önce kapsamlı bir güvenlik denetimi gerçekleştirin, özellikle fon borç verme, likidite yönetimi ve borç tasfiyesi gibi kritik aşamalara odaklanın.
Kullanıcı varlık durumunu etkileyebilecek tüm fonksiyonlar için sıkı güvenlik kontrolleri uygulanmalıdır; bu kontroller likidite doğrulama ile sınırlı değildir.
Düzenli olarak kod incelemeleri ve güvenlik açığı taramaları yaparak potansiyel güvenlik tehditlerini zamanında düzeltin.
Gelişmiş bir risk yönetim mekanizması kurmak, makul borç limiti ve tasfiye eşiği belirlemek.
Büyük ölçekli fon kaybını önlemek için çoklu imza veya zaman kilidi gibi ek güvenlik önlemlerinin getirilmesini düşünün.
Bu önlemleri alarak, DeFi projelerinin güvenliğini önemli ölçüde artırabilir ve benzer saldırılara maruz kalma riskini azaltabilirsiniz.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Euler Finance 2 milyar dolar değerinde flaş kredi saldırısına uğradı, akıllı sözleşmelerdeki açık felaketin nedeni oldu.
Euler Finance flaş kredi saldırısına uğradı, yaklaşık 200 milyon dolar kayıp
13 Mart'ta, Euler Finance projesi akıllı sözleşmelerindeki bir güvenlik açığı nedeniyle flaş kredi saldırısına uğradı ve yaklaşık 197 milyon dolar kayba neden oldu. Bu saldırı 6 farklı kripto para token'ını içeriyordu.
Saldırı Süreci Analizi
Saldırgan öncelikle bir borç verme platformundan 30 milyon DAI tutarında Flaş Krediler aldı ve iki ana sözleşme dağıttı: biri borç verme işlemleri için, diğeri ise tasfiye için.
Ardından, saldırgan Euler Protocol sözleşmesine 20 milyon DAI teminat yatırarak yaklaşık 19.5 milyon eDAI aldı. Euler Protocol'ün 10 kat kaldıraç özelliğini kullanarak, saldırgan 195.6 milyon eDAI ve 200 milyon dDAI daha borç aldı.
Ardından, saldırgan kalan 10 milyon DAI ile borcun bir kısmını geri ödeyerek ilgili dDAI'yi yok etti. Sonra aynı miktarda eDAI ve dDAI'yi tekrar borç aldı.
Ana adım, saldırganın donateToReserves fonksiyonundaki açığı kullanarak, geri ödeme miktarının 10 katı kadar, yani 100 milyon eDAI bağışlamasıdır. Bu işlem, saldırganın tasfiye mekanizmasını tetiklemesine ve böylece 310 milyon dDAI ve 250 milyon eDAI elde etmesine olanak tanımıştır.
Sonunda, saldırgan çekim fonksiyonu aracılığıyla 38.9 milyon DAI elde etti, 30 milyon DAI'lik Flaş Krediler'i geri ödedi ve nihayetinde yaklaşık 8.87 milyon DAI kâr elde etti.
Açık Analizi
Bu saldırının temel açığı, Euler Finance'in donateToReserves fonksiyonunun gerekli likidite kontrollerinden yoksun olmasıdır. Diğer kritik fonksiyonlarla (örneğin mint fonksiyonu) karşılaştırıldığında, donateToReserves fonksiyonu kullanıcı likiditesini doğrulamak için checkLiquidity'i çağırmamaktadır.
Normal şartlar altında, checkLiquidity fonksiyonu, kullanıcıların eToken miktarının dToken miktarından fazla olmasını sağlamak için RiskManager modülünü arayarak sistemin güvenliğini sağlamalıdır. Ancak, donateToReserves fonksiyonunun bu kritik adımı atlaması nedeniyle, saldırgan kendi hesap durumunu manipüle ederek tasfiye edilme koşullarını yerine getirip tasfiyeden kar elde edebilmektedir.
Güvenlik Önerileri
Bu tür saldırılara karşı, blok zinciri projelerine şunları öneriyoruz:
Akıllı sözleşme hayata geçmeden önce kapsamlı bir güvenlik denetimi gerçekleştirin, özellikle fon borç verme, likidite yönetimi ve borç tasfiyesi gibi kritik aşamalara odaklanın.
Kullanıcı varlık durumunu etkileyebilecek tüm fonksiyonlar için sıkı güvenlik kontrolleri uygulanmalıdır; bu kontroller likidite doğrulama ile sınırlı değildir.
Düzenli olarak kod incelemeleri ve güvenlik açığı taramaları yaparak potansiyel güvenlik tehditlerini zamanında düzeltin.
Gelişmiş bir risk yönetim mekanizması kurmak, makul borç limiti ve tasfiye eşiği belirlemek.
Büyük ölçekli fon kaybını önlemek için çoklu imza veya zaman kilidi gibi ek güvenlik önlemlerinin getirilmesini düşünün.
Bu önlemleri alarak, DeFi projelerinin güvenliğini önemli ölçüde artırabilir ve benzer saldırılara maruz kalma riskini azaltabilirsiniz.