Euler Finance遭遇 cuộc tấn công cho vay chớp nhoáng,损失近2亿美元
Vào ngày 13 tháng 3 năm 2023, dự án Euler Finance đã chịu một cuộc tấn công cho vay chớp nhoáng nghiêm trọng, dẫn đến thiệt hại khoảng 197 triệu USD. Cuộc tấn công này liên quan đến 6 loại token khác nhau, là một trong những sự kiện an ninh lớn nhất gần đây trong lĩnh vực DeFi.
Phân tích quá trình tấn công
Kẻ tấn công đã đầu tiên lấy khoản vay nhanh 30 triệu DAI từ một nền tảng cho vay, sau đó triển khai hai hợp đồng chính: một hợp đồng để thực hiện các giao dịch vay mượn, và một hợp đồng để thanh lý.
Các bước chính của cuộc tấn công như sau:
Đặt cọc 20 triệu DAI vào Giao thức Euler, nhận được 19.5 triệu eDAI.
Sử dụng chức năng đòn bẩy 10 lần của Euler Protocol, vay 195.6 triệu eDAI và 200 triệu dDAI.
Sử dụng 10 triệu DAI còn lại để trả một phần nợ, và tiêu hủy số dDAI tương ứng.
Vay lại số lượng eDAI và dDAI tương đương.
Thông qua hàm donateToReserves, quyên góp 100 triệu eDAI, sau đó kích hoạt thanh lý, nhận được 310 triệu dDAI và 250 triệu eDAI.
Cuối cùng rút 3890 triệu DAI, hoàn trả khoản vay nhanh gốc 3000 triệu DAI, lợi nhuận ròng khoảng 887 triệu DAI.
Nguyên nhân lỗ hổng
Vấn đề cốt lõi của cuộc tấn công này nằm ở việc hàm donateToReserves của Euler Finance thiếu kiểm tra tính thanh khoản cần thiết. So với các hàm quan trọng khác (như mint), donateToReserves không gọi hàm checkLiquidity để xác minh tình trạng tài sản của người dùng.
Trong điều kiện bình thường, checkLiquidity sẽ gọi module RiskManager, đảm bảo rằng số lượng eToken của người dùng luôn lớn hơn số lượng dToken. Tuy nhiên, do hàm donateToReserves đã bỏ qua bước này, kẻ tấn công đã có thể thao túng tài khoản của mình vào trạng thái có thể bị thanh lý, từ đó thực hiện cuộc tấn công.
Đề xuất an toàn
Đối với các dự án DeFi, đặc biệt là các nền tảng liên quan đến chức năng cho vay, cần chú ý đến những điểm sau:
Đảm bảo tất cả các hàm quan trọng đều có các kiểm tra an ninh cần thiết, đặc biệt là xác minh tính thanh khoản.
Thực hiện kiểm toán an ninh toàn diện trước khi hợp đồng được ra mắt, chú ý đến các khâu cốt lõi như hoàn trả vốn, kiểm tra tính thanh khoản và thanh lý nợ.
Thực hiện kiểm tra mã định kỳ và quét lỗ hổng, kịp thời phát hiện và khắc phục rủi ro tiềm ẩn.
Thiết lập và hoàn thiện cơ chế quản lý rủi ro, đặt ra các hạn mức cho vay hợp lý và ngưỡng thanh lý.
Cân nhắc việc đưa vào các biện pháp an ninh bổ sung như chữ ký đa dạng hoặc khóa thời gian để ngăn chặn việc rút vốn lớn một cách nhanh chóng.
Sự kiện lần này lại làm nổi bật tầm quan trọng của an ninh trong DeFi. Các dự án nên tiếp tục nâng cao nhận thức về an ninh, áp dụng các biện pháp bảo vệ đa tầng để đảm bảo an toàn cho tài sản của người dùng. Đồng thời, người dùng cũng cần giữ cảnh giác khi tham gia các dự án DeFi và hiểu rõ các rủi ro tiềm ẩn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
9 thích
Phần thưởng
9
6
Đăng lại
Chia sẻ
Bình luận
0/400
DAOdreamer
· 07-26 01:35
Bảo trì an toàn là ưu tiên hàng đầu, kiểm toán thật sự rất quan trọng.
Xem bản gốcTrả lời0
StakeHouseDirector
· 07-25 22:05
Một dự án nữa đã bị cuỗm đi rồi, đã biến mất.
Xem bản gốcTrả lời0
GasWaster
· 07-23 02:23
Đám hacker độc ác lại xuất hiện.
Xem bản gốcTrả lời0
MemecoinResearcher
· 07-23 02:19
phân tích tâm lý đang chạy... và nó đã biến mất
Xem bản gốcTrả lời0
ForkThisDAO
· 07-23 02:14
Một cái nữa chưa được kiểm tra an ninh đã lên sóng.
Euler Finance遭1.97亿美元cuộc tấn công cho vay chớp nhoáng Tài chính phi tập trung安全再敲警钟
Euler Finance遭遇 cuộc tấn công cho vay chớp nhoáng,损失近2亿美元
Vào ngày 13 tháng 3 năm 2023, dự án Euler Finance đã chịu một cuộc tấn công cho vay chớp nhoáng nghiêm trọng, dẫn đến thiệt hại khoảng 197 triệu USD. Cuộc tấn công này liên quan đến 6 loại token khác nhau, là một trong những sự kiện an ninh lớn nhất gần đây trong lĩnh vực DeFi.
Phân tích quá trình tấn công
Kẻ tấn công đã đầu tiên lấy khoản vay nhanh 30 triệu DAI từ một nền tảng cho vay, sau đó triển khai hai hợp đồng chính: một hợp đồng để thực hiện các giao dịch vay mượn, và một hợp đồng để thanh lý.
Các bước chính của cuộc tấn công như sau:
Đặt cọc 20 triệu DAI vào Giao thức Euler, nhận được 19.5 triệu eDAI.
Sử dụng chức năng đòn bẩy 10 lần của Euler Protocol, vay 195.6 triệu eDAI và 200 triệu dDAI.
Sử dụng 10 triệu DAI còn lại để trả một phần nợ, và tiêu hủy số dDAI tương ứng.
Vay lại số lượng eDAI và dDAI tương đương.
Thông qua hàm donateToReserves, quyên góp 100 triệu eDAI, sau đó kích hoạt thanh lý, nhận được 310 triệu dDAI và 250 triệu eDAI.
Cuối cùng rút 3890 triệu DAI, hoàn trả khoản vay nhanh gốc 3000 triệu DAI, lợi nhuận ròng khoảng 887 triệu DAI.
Nguyên nhân lỗ hổng
Vấn đề cốt lõi của cuộc tấn công này nằm ở việc hàm donateToReserves của Euler Finance thiếu kiểm tra tính thanh khoản cần thiết. So với các hàm quan trọng khác (như mint), donateToReserves không gọi hàm checkLiquidity để xác minh tình trạng tài sản của người dùng.
Trong điều kiện bình thường, checkLiquidity sẽ gọi module RiskManager, đảm bảo rằng số lượng eToken của người dùng luôn lớn hơn số lượng dToken. Tuy nhiên, do hàm donateToReserves đã bỏ qua bước này, kẻ tấn công đã có thể thao túng tài khoản của mình vào trạng thái có thể bị thanh lý, từ đó thực hiện cuộc tấn công.
Đề xuất an toàn
Đối với các dự án DeFi, đặc biệt là các nền tảng liên quan đến chức năng cho vay, cần chú ý đến những điểm sau:
Đảm bảo tất cả các hàm quan trọng đều có các kiểm tra an ninh cần thiết, đặc biệt là xác minh tính thanh khoản.
Thực hiện kiểm toán an ninh toàn diện trước khi hợp đồng được ra mắt, chú ý đến các khâu cốt lõi như hoàn trả vốn, kiểm tra tính thanh khoản và thanh lý nợ.
Thực hiện kiểm tra mã định kỳ và quét lỗ hổng, kịp thời phát hiện và khắc phục rủi ro tiềm ẩn.
Thiết lập và hoàn thiện cơ chế quản lý rủi ro, đặt ra các hạn mức cho vay hợp lý và ngưỡng thanh lý.
Cân nhắc việc đưa vào các biện pháp an ninh bổ sung như chữ ký đa dạng hoặc khóa thời gian để ngăn chặn việc rút vốn lớn một cách nhanh chóng.
Sự kiện lần này lại làm nổi bật tầm quan trọng của an ninh trong DeFi. Các dự án nên tiếp tục nâng cao nhận thức về an ninh, áp dụng các biện pháp bảo vệ đa tầng để đảm bảo an toàn cho tài sản của người dùng. Đồng thời, người dùng cũng cần giữ cảnh giác khi tham gia các dự án DeFi và hiểu rõ các rủi ro tiềm ẩn.