Euler Finance, flaş kredi saldırısı sonucunda yaklaşık 200 milyon dolar kaybetti.

2023年3月13日，Euler Finance项目因其Etoken合约中的donateToReserves函数存在漏洞，遭受了一次 büyük ölçekli flaş kredi saldırısı. Saldırgan, çeşitli token'lar kullanarak birden fazla işlem gerçekleştirdi ve nihayetinde yaklaşık 1.97 milyar dolar kayba neden oldu.

Saldırı Süreci Analizi

Saldırgan, önce bir borç verme platformundan 30 milyon DAI tutarında Flaş Krediler aldı, ardından iki ana sözleşme dağıttı: biri borç verme işlemleri için, diğeri ise tasfiye için. Saldırı süreci aşağıdaki adımlara ayrılabilir:

1. 20 milyon DAI'yi Euler Protocol sözleşmesine teminat olarak yatırın, yaklaşık 19.5 milyon eDAI alın.

2. Euler Protocol'un 10 kat kaldıraç özelliğini kullanarak 1.956 milyon eDAI ve 2 milyon dDAI borç alın.

3. Kalan 10 milyon DAI ile borcun bir kısmını ödeyin ve ilgili dDAI'yi imha edin, ardından eşit miktarda eDAI ve dDAI tekrar borç alın.

4. donateToReserves fonksiyonu ile 100 milyon eDAI bağışlandı, ardından likidite sağlamak için liquidate fonksiyonu çağrıldı ve 310 milyon dDAI ile 250 milyon eDAI elde edildi.

5. Son olarak 38.9 milyon DAI çekildi, flaş krediler geri ödendikten sonra yaklaşık 8.87 milyon DAI net kazanç elde edildi.

Açık Neden Analizi

Bu saldırının temel sorunu, donateToReserves fonksiyonunun gerekli likidite kontrolünden yoksun olmasıdır. mint fonksiyonu ile karşılaştırıldığında, donateToReserves fonksiyonu checkLiquidity adımını gerçekleştirmediği için kullanıcılar normal likidite kontrol mekanizmasını atlayabilmektedir.

Normal koşullar altında, checkLiquidity fonksiyonu kullanıcının Etoken miktarının Dtoken miktarından büyük olmasını sağlamak için RiskManager modülünü çağırır. Ancak, donateToReserves fonksiyonu bu adımı atladığı için saldırgan önce kendini tasfiye edilebilir bir duruma sokup ardından tasfiye işlemini tamamlayabilmiştir.

Güvenlik Önerileri

Bu tür açıklar için DeFi proje sahiplerine öneriyoruz:

1. Sözleşme yayına alınmadan önce kapsamlı bir güvenlik denetimi yapılmalı ve sözleşmenin güvenliği sağlanmalıdır.

2. Kredi projelerindeki fon geri ödeme, likidite testi ve borç tasfiyesi gibi kritik aşamalara özel önem verilmesi.

3. Kullanıcı varlık durumunu etkileyebilecek tüm fonksiyonlarda sıkı likidite kontrolleri uygulanmalıdır.

4. Düzenli olarak kod incelemesi yapın, potansiyel güvenlik açıklarını zamanında düzeltin.

5. Çoklu imza mekanizması veya zaman kilidi gibi ek güvenlik önlemlerinin getirilmesini düşünün.

Bu olay, akıllı sözleşmelerin güvenliğinin önemini bir kez daha vurguladı. Proje ekipleri her zaman güvenliği öncelikli hale getirmeli ve kullanıcı varlıklarını ile proje ekosisteminin sağlıklı gelişimini korumak için sürekli olarak güvenlik uygulamalarını geliştirmelidir.