تعرضت Euler Finance لهجوم القرض الفوري، وخسرت ما يقرب من 200 مليون دولار
في 13 مارس 2023، تعرض مشروع Euler Finance لهجوم كبير للقرض الفوري، مما أدى إلى خسارة حوالي 197 مليون دولار. شمل هذا الهجوم 6 أنواع مختلفة من الرموز، وهو واحد من أكبر حوادث الأمان في مجال DeFi في الآونة الأخيرة.
تحليل عملية الهجوم
المهاجم حصل أولاً على قرض فوري بقيمة 30 مليون DAI من منصة إقراض معينة، ثم نشر عقدين رئيسيين: أحدهما لعمليات الإقراض، والآخر للتسوية.
خطوات الهجوم الرئيسية هي كما يلي:
قم برهن 20 مليون DAI في بروتوكول Euler لتحصل على 19.5 مليون eDAI.
استخدم ميزة الرافعة المالية 10x من بروتوكول Euler لاقتراض 195.6 مليون eDAI و200 مليون dDAI.
استخدم 10000000 DAI المتبقية لسداد جزء من الدين، وقم بإتلاف dDAI المعنية.
اقترض مرة أخرى نفس الكمية من eDAI و dDAI.
من خلال وظيفة donateToReserves، تبرع بمبلغ 100 مليون eDAI، ثم قم بتحفيز التسوية للحصول على 310 مليون dDAI و 250 مليون eDAI.
أخيراً، تم سحب 3890 مليون DAI، وإعادة 3000 مليون DAI من القروض السريعة، وصافي الربح حوالي 887 مليون DAI.
سبب الثغرة
تكمن المشكلة الأساسية في هذا الهجوم في عدم وجود فحص للسيولة الضرورية في دالة donateToReserves الخاصة بـ Euler Finance. بالمقارنة مع الدوال الأساسية الأخرى (مثل mint)، لم تقم donateToReserves باستدعاء دالة checkLiquidity للتحقق من حالة أصول المستخدم.
في الظروف العادية، ستقوم checkLiquidity باستدعاء وحدة RiskManager لضمان أن كمية eToken للمستخدم أكبر دائمًا من كمية dToken. ومع ذلك، نظرًا لأن وظيفة donateToReserves تخطت هذه الخطوة، تمكن المهاجم من التلاعب بحسابه للدخول في حالة يمكن تصفيتها، مما أدى إلى تنفيذ الهجوم.
نصائح أمان
بالنسبة لمشاريع DeFi، وخاصة المنصات التي تشمل وظائف الإقراض، يجب الانتباه إلى النقاط التالية:
تأكد من أن جميع الوظائف الأساسية تحتوي على فحوصات أمان ضرورية، خاصةً التحقق من السيولة.
إجراء تدقيق أمني شامل قبل إطلاق العقد، مع التركيز على جوانب رئيسية مثل سداد الأموال، واختبار السيولة، وتسوية الديون.
إجراء مراجعة دورية للكود وفحص الثغرات، واكتشاف وإصلاح المخاطر المحتملة في الوقت المناسب.
إنشاء آلية فعالة لإدارة المخاطر، وتحديد حدود إقراض معقولة وعتبات تصفية.
النظر في إدخال إجراءات أمان إضافية مثل التوقيع المتعدد أو قفل الوقت لمنع فقدان الأموال بشكل سريع على نطاق واسع.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية أمان DeFi. يجب على فرق المشروع تعزيز الوعي بالأمان باستمرار واتخاذ تدابير حماية متعددة المستويات لضمان أمان أصول المستخدمين. في الوقت نفسه، يجب على المستخدمين أن يظلوا يقظين عند المشاركة في مشاريع DeFi وأن يفهموا المخاطر المحتملة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تعرضت Euler Finance لهجوم القرض الفوري بقيمة 1.97 مليار دولار، مما يثير مجددًا إنذارًا بشأن أمان التمويل اللامركزي.
تعرضت Euler Finance لهجوم القرض الفوري، وخسرت ما يقرب من 200 مليون دولار
في 13 مارس 2023، تعرض مشروع Euler Finance لهجوم كبير للقرض الفوري، مما أدى إلى خسارة حوالي 197 مليون دولار. شمل هذا الهجوم 6 أنواع مختلفة من الرموز، وهو واحد من أكبر حوادث الأمان في مجال DeFi في الآونة الأخيرة.
تحليل عملية الهجوم
المهاجم حصل أولاً على قرض فوري بقيمة 30 مليون DAI من منصة إقراض معينة، ثم نشر عقدين رئيسيين: أحدهما لعمليات الإقراض، والآخر للتسوية.
خطوات الهجوم الرئيسية هي كما يلي:
قم برهن 20 مليون DAI في بروتوكول Euler لتحصل على 19.5 مليون eDAI.
استخدم ميزة الرافعة المالية 10x من بروتوكول Euler لاقتراض 195.6 مليون eDAI و200 مليون dDAI.
استخدم 10000000 DAI المتبقية لسداد جزء من الدين، وقم بإتلاف dDAI المعنية.
اقترض مرة أخرى نفس الكمية من eDAI و dDAI.
من خلال وظيفة donateToReserves، تبرع بمبلغ 100 مليون eDAI، ثم قم بتحفيز التسوية للحصول على 310 مليون dDAI و 250 مليون eDAI.
أخيراً، تم سحب 3890 مليون DAI، وإعادة 3000 مليون DAI من القروض السريعة، وصافي الربح حوالي 887 مليون DAI.
سبب الثغرة
تكمن المشكلة الأساسية في هذا الهجوم في عدم وجود فحص للسيولة الضرورية في دالة donateToReserves الخاصة بـ Euler Finance. بالمقارنة مع الدوال الأساسية الأخرى (مثل mint)، لم تقم donateToReserves باستدعاء دالة checkLiquidity للتحقق من حالة أصول المستخدم.
في الظروف العادية، ستقوم checkLiquidity باستدعاء وحدة RiskManager لضمان أن كمية eToken للمستخدم أكبر دائمًا من كمية dToken. ومع ذلك، نظرًا لأن وظيفة donateToReserves تخطت هذه الخطوة، تمكن المهاجم من التلاعب بحسابه للدخول في حالة يمكن تصفيتها، مما أدى إلى تنفيذ الهجوم.
نصائح أمان
بالنسبة لمشاريع DeFi، وخاصة المنصات التي تشمل وظائف الإقراض، يجب الانتباه إلى النقاط التالية:
تأكد من أن جميع الوظائف الأساسية تحتوي على فحوصات أمان ضرورية، خاصةً التحقق من السيولة.
إجراء تدقيق أمني شامل قبل إطلاق العقد، مع التركيز على جوانب رئيسية مثل سداد الأموال، واختبار السيولة، وتسوية الديون.
إجراء مراجعة دورية للكود وفحص الثغرات، واكتشاف وإصلاح المخاطر المحتملة في الوقت المناسب.
إنشاء آلية فعالة لإدارة المخاطر، وتحديد حدود إقراض معقولة وعتبات تصفية.
النظر في إدخال إجراءات أمان إضافية مثل التوقيع المتعدد أو قفل الوقت لمنع فقدان الأموال بشكل سريع على نطاق واسع.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية أمان DeFi. يجب على فرق المشروع تعزيز الوعي بالأمان باستمرار واتخاذ تدابير حماية متعددة المستويات لضمان أمان أصول المستخدمين. في الوقت نفسه، يجب على المستخدمين أن يظلوا يقظين عند المشاركة في مشاريع DeFi وأن يفهموا المخاطر المحتملة.