Euler Finance, flaş kredi saldırısı nedeniyle neredeyse 200 milyon dolar kaybetti.
13 Mart'ta, Euler Finance projesi akıllı sözleşme açığı nedeniyle flaş kredi saldırısına uğradı ve yaklaşık 197 milyon dolar fon kaybı yaşandı. Bu saldırı 6 farklı token'ı kapsıyor ve yakın zamanda DeFi alanındaki en büyük güvenlik olaylarından biri.
Saldırı Süreci Analizi
Saldırgan öncelikle bir borç verme platformundan 30 milyon DAI'lik flaş kredi aldı ve ardından borç verme ve tasfiye için iki sözleşme dağıttı. Saldırı süreci kabaca şöyle:
20 milyon DAI'yi Euler Protokolü'ne teminat olarak vererek 19.5 milyon eDAI elde edin.
Euler Protocol'un 10 kat kaldıraç ile 1.956 milyon eDAI ve 2 milyon dDAI borç alın.
Kalan 10 milyon DAI ile borcun bir kısmını geri ödeyin ve ilgili dDAI'yi imha edin.
Yeniden eşit miktarda eDAI ve dDAI ödünç verin.
donateToReserves fonksiyonu ile 100 milyon eDAI bağışlayın, ardından liquidate fonksiyonunu çağırarak 310 milyon dDAI ve 250 milyon eDAI elde edin.
Son olarak 38.9 milyon DAI çekildi, 30 milyon Flaş Krediler geri ödendi, net kar yaklaşık 8.87 milyon DAI.
Açık Nedenleri
Bu saldırının anahtarı, Euler Finance'in donateToReserves fonksiyonunun gerekli likidite kontrolünden yoksun olmasıdır. mint gibi diğer fonksiyonlardan farklı olarak, donateToReserves, kullanıcının varlık durumunu doğrulamak için checkLiquidity fonksiyonunu çağırmamaktadır. Bu, saldırganların bu fonksiyon aracılığıyla kendi hesaplarını tasfiye edilebilir bir duruma getirmesine ve böylece saldırıyı gerçekleştirmesine olanak tanımaktadır.
Normal şartlar altında, checkLiquidity fonksiyonu sistemin güvenliğini sağlamak için kullanıcının eToken'ının dToken'dan büyük olduğundan emin olmak üzere RiskManager modülünü çağırır. Ancak, donateToReserves fonksiyonu bu önemli adımı atlayarak saldırganlara fırsat vermektedir.
Güvenlik Önerileri
Bu olay, DeFi projelerinin akıllı sözleşme güvenliğinin önemini bir kez daha vurguladı. Borç verme projeleri için özellikle aşağıdaki noktalara dikkat edilmesi gerekiyor:
Fonksiyonların, tüm fon işlemleri ile ilgili yeterli likidite kontrolü yaptığından emin olun.
Kullanıcıların borç alma kaldıraçlarını sıkı bir şekilde kontrol edin, aşırı kaldıraç kullanımının neden olduğu sistem risklerinden kaçının.
Acil durdurma işlevi gibi çoklu güvenlik mekanizmaları uygulayın, ani güvenlik olaylarına karşı önlem almak için.
Fon geri ödemesi, likidite kontrolü ve borç tasfiyesi gibi kritik aşamalara özellikle dikkat edilerek kapsamlı bir sözleşme denetimi gerçekleştirin.
Güvenlik değerlendirmeleri ve stres testleri düzenli olarak yapılmalı, potansiyel zafiyetler zamanında tespit edilip düzeltilmelidir.
Bu saldırı olayı, hızla gelişen Web3 dünyasında güvenliğin her zaman birinci öncelik olduğunu hatırlatıyor. Proje sahipleri, güvenlik inşasına daha fazla kaynak ayırmalı ve kullanıcılar da risk farkındalığını artırmalı, her türlü DeFi projesine katılırken dikkatli olmalıdır.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Euler Finance, flaş kredi saldırısı sonucu yaklaşık 200 milyon dolar kaybetti.
Euler Finance, flaş kredi saldırısı nedeniyle neredeyse 200 milyon dolar kaybetti.
13 Mart'ta, Euler Finance projesi akıllı sözleşme açığı nedeniyle flaş kredi saldırısına uğradı ve yaklaşık 197 milyon dolar fon kaybı yaşandı. Bu saldırı 6 farklı token'ı kapsıyor ve yakın zamanda DeFi alanındaki en büyük güvenlik olaylarından biri.
Saldırı Süreci Analizi
Saldırgan öncelikle bir borç verme platformundan 30 milyon DAI'lik flaş kredi aldı ve ardından borç verme ve tasfiye için iki sözleşme dağıttı. Saldırı süreci kabaca şöyle:
20 milyon DAI'yi Euler Protokolü'ne teminat olarak vererek 19.5 milyon eDAI elde edin.
Euler Protocol'un 10 kat kaldıraç ile 1.956 milyon eDAI ve 2 milyon dDAI borç alın.
Kalan 10 milyon DAI ile borcun bir kısmını geri ödeyin ve ilgili dDAI'yi imha edin.
Yeniden eşit miktarda eDAI ve dDAI ödünç verin.
donateToReserves fonksiyonu ile 100 milyon eDAI bağışlayın, ardından liquidate fonksiyonunu çağırarak 310 milyon dDAI ve 250 milyon eDAI elde edin.
Son olarak 38.9 milyon DAI çekildi, 30 milyon Flaş Krediler geri ödendi, net kar yaklaşık 8.87 milyon DAI.
Açık Nedenleri
Bu saldırının anahtarı, Euler Finance'in donateToReserves fonksiyonunun gerekli likidite kontrolünden yoksun olmasıdır. mint gibi diğer fonksiyonlardan farklı olarak, donateToReserves, kullanıcının varlık durumunu doğrulamak için checkLiquidity fonksiyonunu çağırmamaktadır. Bu, saldırganların bu fonksiyon aracılığıyla kendi hesaplarını tasfiye edilebilir bir duruma getirmesine ve böylece saldırıyı gerçekleştirmesine olanak tanımaktadır.
Normal şartlar altında, checkLiquidity fonksiyonu sistemin güvenliğini sağlamak için kullanıcının eToken'ının dToken'dan büyük olduğundan emin olmak üzere RiskManager modülünü çağırır. Ancak, donateToReserves fonksiyonu bu önemli adımı atlayarak saldırganlara fırsat vermektedir.
Güvenlik Önerileri
Bu olay, DeFi projelerinin akıllı sözleşme güvenliğinin önemini bir kez daha vurguladı. Borç verme projeleri için özellikle aşağıdaki noktalara dikkat edilmesi gerekiyor:
Fonksiyonların, tüm fon işlemleri ile ilgili yeterli likidite kontrolü yaptığından emin olun.
Kullanıcıların borç alma kaldıraçlarını sıkı bir şekilde kontrol edin, aşırı kaldıraç kullanımının neden olduğu sistem risklerinden kaçının.
Acil durdurma işlevi gibi çoklu güvenlik mekanizmaları uygulayın, ani güvenlik olaylarına karşı önlem almak için.
Fon geri ödemesi, likidite kontrolü ve borç tasfiyesi gibi kritik aşamalara özellikle dikkat edilerek kapsamlı bir sözleşme denetimi gerçekleştirin.
Güvenlik değerlendirmeleri ve stres testleri düzenli olarak yapılmalı, potansiyel zafiyetler zamanında tespit edilip düzeltilmelidir.
Bu saldırı olayı, hızla gelişen Web3 dünyasında güvenliğin her zaman birinci öncelik olduğunu hatırlatıyor. Proje sahipleri, güvenlik inşasına daha fazla kaynak ayırmalı ve kullanıcılar da risk farkındalığını artırmalı, her türlü DeFi projesine katılırken dikkatli olmalıdır.