- الموضوع
12k درجة الشعبية
15k درجة الشعبية
13k درجة الشعبية
30k درجة الشعبية
730 درجة الشعبية
116k درجة الشعبية
28k درجة الشعبية
26k درجة الشعبية
7k درجة الشعبية
15k درجة الشعبية
- تثبيت
12k درجة الشعبية
15k درجة الشعبية
13k درجة الشعبية
30k درجة الشعبية
730 درجة الشعبية
116k درجة الشعبية
28k درجة الشعبية
26k درجة الشعبية
7k درجة الشعبية
15k درجة الشعبية
تعرضت Euler Finance لهجوم قرض فوري بقيمة 200 مليون دولار، مما يثير جرس إنذار آخر بشأن أمان التمويل اللامركزي.
تعرضت Euler Finance لهجوم القرض الفوري، مما أدى إلى خسائر تقترب من 200 مليون دولار
في 13 مارس 2023، تعرض مشروع Euler Finance لهجوم كبير للقرض الفوري بسبب وجود ثغرة في دالة donateToReserves في عقد Etoken الخاص به. استغل المهاجمون مجموعة متنوعة من الرموز وقاموا بعدة عمليات، مما أدى في النهاية إلى خسارة ضخمة تقدر بحوالي 197 مليون دولار.
تحليل عملية الهجوم
المهاجم استحوذ أولاً على قرض فوري بقيمة 30 مليون DAI من منصة اقتراض معينة، ثم نشر عقدين أساسيين: أحدهما لعمليات الاقتراض، والآخر للتصفية. يمكن تقسيم عملية الهجوم إلى الخطوات التالية:
قم بتخزين 20 مليون DAI في عقد بروتوكول Euler للحصول على حوالي 19.5 مليون eDAI.
استخدام ميزة الرافعة المالية 10x من بروتوكول Euler، اقتراض 1.956 مليون eDAI و 2 مليون dDAI.
استخدام 10,000,000 DAI المتبقية لسداد جزء من الديون وحرق الكمية المقابلة من dDAI، ثم اقتراض نفس الكمية مرة أخرى من eDAI و dDAI.
من خلال دالة donateToReserves، تبرع بمبلغ 100 مليون eDAI، ثم استدعِ دالة liquidate للتصفية، وحصلت على 310 مليون dDAI و 250 مليون eDAI.
أخيرًا، تم سحب 3890 مليون DAI، وبعد سداد القرض الفوري، تم تحقيق ربح صافٍ قدره حوالي 887 مليون DAI.
تحليل أسباب الثغرات
المشكلة الأساسية في هذا الهجوم هي أن دالة donateToReserves تفتقر إلى فحص السيولة الضروري. مقارنةً بدالة mint، فإن دالة donateToReserves لم تنفذ خطوة checkLiquidity، مما يسمح للمستخدمين بتجاوز آلية فحص السيولة العادية.
في الظروف العادية، يقوم دالة checkLiquidity باستدعاء وحدة RiskManager للتأكد من أن عدد Etoken للمستخدم أكبر من عدد Dtoken. ومع ذلك، نظرًا لأن دالة donateToReserves تخطت هذه الخطوة، تمكن المهاجم من وضع نفسه في حالة يمكن تصفيتها، ثم إكمال عملية التصفية.
نصائح الأمان
针对 هذه الثغرات، نقترح على مشاريع DeFi:
إجراء تدقيق شامل للأمان قبل إطلاق العقد لضمان أمان العقد.
التركيز بشكل خاص على مراحل رئيسية مثل سداد الأموال، واختبار السيولة، وتصفيات الديون في المشاريع المتعلقة بالإقراض.
تنفيذ فحوصات سيولة صارمة على جميع الوظائف التي قد تؤثر على حالة أصول المستخدم.
إجراء مراجعة دورية للكود، وإصلاح الثغرات الأمنية المحتملة على الفور.
النظر في إدخال آلية توقيع متعدد أو قفل زمني كإجراءات أمان إضافية.
تسلط هذه الحادثة الضوء مرة أخرى على أهمية أمان العقود الذكية. يجب على فريق المشروع دائمًا وضع الأمان في المقدمة، من خلال تحسين الممارسات الأمنية باستمرار لحماية أصول المستخدمين وتطوير النظام البيئي للمشروع بشكل صحي.