Euler Finance projesi flaş kredi saldırısına uğradı, neredeyse 200 milyon dolar kayıp yaşandı
13 Mart 2023'te, Euler Finance projesi bir akıllı sözleşme açığı nedeniyle flaş kredi saldırısına uğradı ve kayıplar 197 milyon dolara kadar ulaştı. Saldırganlar, projenin sözleşmesindeki donateToReserves fonksiyonunun likidite kontrolü eksikliğinden yararlanarak bir dizi işlemle büyük kar elde ettiler.
Saldırı Süreci Analizi
Saldırgan öncelikle bir borç verme platformundan 30.000.000 DAI tutarında Flaş Krediler aldı ve iki sözleşme dağıttı: borç verme sözleşmesi ve tasfiye sözleşmesi.
Saldırgan, ödünç aldığı 20 milyon DAI'yi Euler Protocol sözleşmesine teminat olarak yatırarak 195.000 eDAI elde etti.
Euler Protokolü'nün 10 kat kaldıraç özelliğini kullanarak, saldırgan 1,956,000 eDAI ve 2,000,000 dDAI ödünç aldı.
Saldırgan, kalan 10 milyon DAI ile borcunun bir kısmını geri ödedi, ilgili dDAI'yi yok etti ve ardından eşit miktarda eDAI ve dDAI tekrar borç aldı.
Anahtar Adımlar: Saldırgan donateToReserves fonksiyonunu çağırarak 1.000.000 eDAI bağışladı, ardından liquidate fonksiyonu ile tasfiye ederek 3.100.000 dDAI ve 2.500.000 eDAI elde etti.
Son olarak, saldırgan 389.000 DAI çekti, 300.000 DAI'lik Flaş Krediyi geri ödedi ve sonunda 88.700 DAI kâr elde etti.
Açık Nedenleri
Bu saldırının temel açığı, Euler Finance sözleşmesindeki donateToReserves fonksiyonunun gerekli likidite kontrolünden yoksun olmasıdır. mint gibi diğer kritik fonksiyonlarla karşılaştırıldığında, donateToReserves fonksiyonu checkLiquidity işlemini gerçekleştirmemektedir. Bu, saldırganların normal likidite kontrolünü atlatmasına, yapay olarak tasfiye edilebilir bir durum yaratmasına ve ardından tasfiyeden kar elde etmesine olanak tanır.
Normal koşullarda, checkLiquidity fonksiyonu RiskManager modülünü çağırarak kullanıcının Etoken sayısının Dtoken sayısından büyük olmasını sağlar ve böylece sözleşmenin güvenliğini korur. Ancak, donateToReserves fonksiyonunun bu kritik adımı atlaması nedeniyle, saldırganlar bu açığı kullanarak saldırıda bulunabiliyor.
Güvenlik Önerileri
Bu tür saldırılar için, blockchain projelerine önerilerimiz şunlardır:
Sözleşme yayına girmeden önce kapsamlı bir güvenlik denetimi yaparak sözleşmenin güvenliğini sağlamak.
Borç verme projeleri için, özellikle fon geri ödemesi, likidite testi ve borç tasfiyesi gibi kritik aşamalara dikkat edilmelidir.
Kullanıcı varlık durumunu etkileyebilecek tüm işlevlerin gerekli güvenlik kontrollerini içermesini sağlamak, örneğin likidite kontrolleri.
Düzenli olarak kod denetimi ve güncellemeleri yapın, tespit edilen açıkları zamanında düzeltin.
Acil müdahale mekanizması oluşturun, böylece güvenlik olayları meydana geldiğinde hızlı bir şekilde yanıt verip işleyebilirsiniz.
Bu önlemleri alarak, proje ekipleri benzer saldırılara maruz kalma riskini önemli ölçüde azaltabilir ve sözleşmenin genel güvenliğini artırabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
5
Repost
Share
Comment
0/400
WhaleWatcher
· 08-11 16:40
Yine bir enayinin sahneye girdi.
View OriginalReply0
Lonely_Validator
· 08-10 08:22
Blok Zinciri güvenliği şimdi bu kadar kötü mü? Anlamıyorum.
Euler Finance flaş kredi saldırısı nedeniyle yaklaşık 200 milyon dolar kaybetti.
Euler Finance projesi flaş kredi saldırısına uğradı, neredeyse 200 milyon dolar kayıp yaşandı
13 Mart 2023'te, Euler Finance projesi bir akıllı sözleşme açığı nedeniyle flaş kredi saldırısına uğradı ve kayıplar 197 milyon dolara kadar ulaştı. Saldırganlar, projenin sözleşmesindeki donateToReserves fonksiyonunun likidite kontrolü eksikliğinden yararlanarak bir dizi işlemle büyük kar elde ettiler.
Saldırı Süreci Analizi
Saldırgan öncelikle bir borç verme platformundan 30.000.000 DAI tutarında Flaş Krediler aldı ve iki sözleşme dağıttı: borç verme sözleşmesi ve tasfiye sözleşmesi.
Saldırgan, ödünç aldığı 20 milyon DAI'yi Euler Protocol sözleşmesine teminat olarak yatırarak 195.000 eDAI elde etti.
Euler Protokolü'nün 10 kat kaldıraç özelliğini kullanarak, saldırgan 1,956,000 eDAI ve 2,000,000 dDAI ödünç aldı.
Saldırgan, kalan 10 milyon DAI ile borcunun bir kısmını geri ödedi, ilgili dDAI'yi yok etti ve ardından eşit miktarda eDAI ve dDAI tekrar borç aldı.
Anahtar Adımlar: Saldırgan donateToReserves fonksiyonunu çağırarak 1.000.000 eDAI bağışladı, ardından liquidate fonksiyonu ile tasfiye ederek 3.100.000 dDAI ve 2.500.000 eDAI elde etti.
Son olarak, saldırgan 389.000 DAI çekti, 300.000 DAI'lik Flaş Krediyi geri ödedi ve sonunda 88.700 DAI kâr elde etti.
Açık Nedenleri
Bu saldırının temel açığı, Euler Finance sözleşmesindeki donateToReserves fonksiyonunun gerekli likidite kontrolünden yoksun olmasıdır. mint gibi diğer kritik fonksiyonlarla karşılaştırıldığında, donateToReserves fonksiyonu checkLiquidity işlemini gerçekleştirmemektedir. Bu, saldırganların normal likidite kontrolünü atlatmasına, yapay olarak tasfiye edilebilir bir durum yaratmasına ve ardından tasfiyeden kar elde etmesine olanak tanır.
Normal koşullarda, checkLiquidity fonksiyonu RiskManager modülünü çağırarak kullanıcının Etoken sayısının Dtoken sayısından büyük olmasını sağlar ve böylece sözleşmenin güvenliğini korur. Ancak, donateToReserves fonksiyonunun bu kritik adımı atlaması nedeniyle, saldırganlar bu açığı kullanarak saldırıda bulunabiliyor.
Güvenlik Önerileri
Bu tür saldırılar için, blockchain projelerine önerilerimiz şunlardır:
Sözleşme yayına girmeden önce kapsamlı bir güvenlik denetimi yaparak sözleşmenin güvenliğini sağlamak.
Borç verme projeleri için, özellikle fon geri ödemesi, likidite testi ve borç tasfiyesi gibi kritik aşamalara dikkat edilmelidir.
Kullanıcı varlık durumunu etkileyebilecek tüm işlevlerin gerekli güvenlik kontrollerini içermesini sağlamak, örneğin likidite kontrolleri.
Düzenli olarak kod denetimi ve güncellemeleri yapın, tespit edilen açıkları zamanında düzeltin.
Acil müdahale mekanizması oluşturun, böylece güvenlik olayları meydana geldiğinde hızlı bir şekilde yanıt verip işleyebilirsiniz.
Bu önlemleri alarak, proje ekipleri benzer saldırılara maruz kalma riskini önemli ölçüde azaltabilir ve sözleşmenin genel güvenliğini artırabilir.