Euler Finance تعرضت لهجوم القرض الفوري، خسائرها تقترب من 200 مليون دولار
في 13 مارس 2023، تعرض مشروع Euler Finance لهجوم القرض الفوري بسبب ثغرة في العقد الذكي، مما أدى إلى خسائر تقدر بحوالي 197 مليون دولار. استغل المهاجمون ثغرة نقص فحص السيولة في دالة donateToReserves في العقد، وجمعوا أرباحًا ضخمة من خلال عمليات متعددة.
تحليل عملية الهجوم
استعار المهاجم أولاً 30 مليون DAI من منصة إقراض معينة عبر القرض الفوري، ونشر عقدين: عقد الإقراض وعقد التسوية.
قم بربط 20 مليون DAI المستعارة بعقد بروتوكول Euler للحصول على حوالي 19.5 مليون eDAI.
الاستفادة من ميزة الرفع المالي بمقدار 10 أضعاف في بروتوكول Euler لاقتراض 1.956 مليون eDAI و 2 مليون dDAI.
استخدام 10 مليون DAI المتبقية لسداد جزء من الديون وحرق dDAI المقابل، ثم اقتراض نفس الكمية مرة أخرى من eDAI و dDAI.
استدعاء دالة donateToReserves للتبرع بمبلغ 100 مليون eDAI، ثم إجراء التسوية عبر دالة liquidate للحصول على 310 مليون dDAI و250 مليون eDAI.
في النهاية، تم سحب 38900000 DAI، وإرجاع 30000000 DAI من القروض السريعة، وحققت ربحًا صافيًا يقارب 8870000 DAI.
أسباب الثغرات
السبب الرئيسي لنجاح الهجوم هو أن دالة donateToReserves تفتقر إلى فحص السيولة الضروري. بالمقارنة مع الدوال الرئيسية الأخرى مثل mint، لم تقم donateToReserves باستدعاء دالة checkLiquidity للتحقق من حالة سيولة المستخدم. وهذا أتاح للمهاجمين التلاعب بحساباتهم لدخول حالة يمكن تصفيتها والاستفادة من ذلك.
عادةً، ستقوم دالة checkLiquidity باستدعاء وحدة RiskManager لضمان أن عدد الـ Etoken للمستخدم أكبر من عدد الـ Dtoken، للحفاظ على حالة الحساب الصحية. ومع ذلك، فإن دالة donateToReserves تخطت هذه الخطوة الأساسية، مما خلق فرصة للهجوم.
الدروس والنصائح
تسلط هذه الحادثة الضوء مجددًا على أهمية تدقيق أمان العقود الذكية. بالنسبة لمشاريع الإقراض، يجب التركيز بشكل خاص على الجوانب التالية:
سلامة آلية سداد الأموال
شمولية الكشف عن السيولة
أمان عملية تصفية الديون
يجب على فريق المشروع إجراء تدقيق أمني شامل وصارم قبل إطلاق العقد، لضمان أمان العقد واستقراره. في الوقت نفسه، تعتبر المراقبة الأمنية المستمرة وإصلاح الثغرات في الوقت المناسب أمورًا لا غنى عنها.
مع التطور السريع للتمويل اللامركزي، قد تظهر أحداث أمنية مشابهة باستمرار. يحتاج المطورون وأصحاب المشاريع إلى البقاء يقظين، والتعلم والتحسين باستمرار، لبناء نظام بيئي أكثر أمانًا وموثوقية في مجال blockchain.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 5
أعجبني
5
6
إعادة النشر
مشاركة
تعليق
0/400
ChainComedian
· منذ 9 س
لقد انقلب مشروع آخر ثور بشكل ضخم
شاهد النسخة الأصليةرد0
OfflineNewbie
· منذ 9 س
حمقى مرة أخرى تم خداعهم لتحقيق الربح~
شاهد النسخة الأصليةرد0
SmartMoneyWallet
· منذ 9 س
1.97 مليار دولار أمريكي؟ هذه الطريقة في التنفيذ منخفضة جداً، لكن حجم الأموال ليس صغيراً.
تعرضت Euler Finance لهجوم قرض فوري بقيمة 200 مليون دولار، وكان ثغرة في العقود الذكية هي السبب.
Euler Finance تعرضت لهجوم القرض الفوري، خسائرها تقترب من 200 مليون دولار
في 13 مارس 2023، تعرض مشروع Euler Finance لهجوم القرض الفوري بسبب ثغرة في العقد الذكي، مما أدى إلى خسائر تقدر بحوالي 197 مليون دولار. استغل المهاجمون ثغرة نقص فحص السيولة في دالة donateToReserves في العقد، وجمعوا أرباحًا ضخمة من خلال عمليات متعددة.
تحليل عملية الهجوم
استعار المهاجم أولاً 30 مليون DAI من منصة إقراض معينة عبر القرض الفوري، ونشر عقدين: عقد الإقراض وعقد التسوية.
قم بربط 20 مليون DAI المستعارة بعقد بروتوكول Euler للحصول على حوالي 19.5 مليون eDAI.
الاستفادة من ميزة الرفع المالي بمقدار 10 أضعاف في بروتوكول Euler لاقتراض 1.956 مليون eDAI و 2 مليون dDAI.
استخدام 10 مليون DAI المتبقية لسداد جزء من الديون وحرق dDAI المقابل، ثم اقتراض نفس الكمية مرة أخرى من eDAI و dDAI.
استدعاء دالة donateToReserves للتبرع بمبلغ 100 مليون eDAI، ثم إجراء التسوية عبر دالة liquidate للحصول على 310 مليون dDAI و250 مليون eDAI.
في النهاية، تم سحب 38900000 DAI، وإرجاع 30000000 DAI من القروض السريعة، وحققت ربحًا صافيًا يقارب 8870000 DAI.
أسباب الثغرات
السبب الرئيسي لنجاح الهجوم هو أن دالة donateToReserves تفتقر إلى فحص السيولة الضروري. بالمقارنة مع الدوال الرئيسية الأخرى مثل mint، لم تقم donateToReserves باستدعاء دالة checkLiquidity للتحقق من حالة سيولة المستخدم. وهذا أتاح للمهاجمين التلاعب بحساباتهم لدخول حالة يمكن تصفيتها والاستفادة من ذلك.
عادةً، ستقوم دالة checkLiquidity باستدعاء وحدة RiskManager لضمان أن عدد الـ Etoken للمستخدم أكبر من عدد الـ Dtoken، للحفاظ على حالة الحساب الصحية. ومع ذلك، فإن دالة donateToReserves تخطت هذه الخطوة الأساسية، مما خلق فرصة للهجوم.
الدروس والنصائح
تسلط هذه الحادثة الضوء مجددًا على أهمية تدقيق أمان العقود الذكية. بالنسبة لمشاريع الإقراض، يجب التركيز بشكل خاص على الجوانب التالية:
يجب على فريق المشروع إجراء تدقيق أمني شامل وصارم قبل إطلاق العقد، لضمان أمان العقد واستقراره. في الوقت نفسه، تعتبر المراقبة الأمنية المستمرة وإصلاح الثغرات في الوقت المناسب أمورًا لا غنى عنها.
مع التطور السريع للتمويل اللامركزي، قد تظهر أحداث أمنية مشابهة باستمرار. يحتاج المطورون وأصحاب المشاريع إلى البقاء يقظين، والتعلم والتحسين باستمرار، لبناء نظام بيئي أكثر أمانًا وموثوقية في مجال blockchain.