Euler Finance sufrió un ataque de flash loan, con pérdidas cercanas a 200 millones de dólares.
Recientemente, un importante incidente de seguridad ha llamado la atención general en el mundo de las criptomonedas. Según los datos de monitoreo en cadena, el proyecto Euler Finance sufrió un grave ataque de flash loan el 13 de marzo de 2023, que resultó en una pérdida masiva de hasta 197 millones de dólares, involucrando 6 criptomonedas diferentes.
La raíz de este ataque radica en una vulnerabilidad clave en el contrato del proyecto Euler Finance. En concreto, la función donateToReserves en el Etoken del proyecto carecía de un mecanismo de verificación de liquidez necesario, lo que creó una oportunidad para el atacante. El hacker aprovechó esta vulnerabilidad, realizando múltiples llamadas a las funciones relacionadas con diferentes monedas, y finalmente completó este robo masivo de fondos.
El proceso específico del ataque se puede resumir en los siguientes pasos:
El hacker primero obtuvo un préstamo de flash de 30 millones de DAI de una plataforma de préstamos.
Luego se desplegaron dos contratos clave: uno para operaciones de préstamo y otro para operaciones de liquidación.
El hacker pignora 20 millones de DAI prestados en el contrato del Euler Protocol y obtiene aproximadamente 19.5 millones de eDAI.
Utilizando la función de apalancamiento de 10 veces del Protocolo Euler, los hackers tomaron prestados grandes cantidades de eDAI y dDAI.
A través de una manipulación ingeniosa de las funciones repay y mint, el hacker aumentó aún más el límite de préstamo.
El paso clave es llamar a la función donateToReserves, donando un monto equivalente a 10 veces la cantidad a reembolsar, y luego liquidar a través de la función liquidate, obteniendo una gran cantidad de dDAI y eDAI.
Finalmente, el hacker extrajo aproximadamente 38,9 millones de DAI, reembolsó los 30 millones de DAI del préstamo flash inicial y obtuvo una ganancia neta de aproximadamente 8,87 millones de DAI.
Este ataque expuso un grave defecto de diseño en el contrato del proyecto Euler Finance. A diferencia de otras funciones clave, la función donateToReserves carecía del necesario paso de checkLiquidity, que debería haber llamado a RiskManager para asegurar que el Etoken del usuario siempre fuera mayor que el Dtoken. Fue esta negligencia la que permitió al atacante aprovecharse y manipular el estado de su cuenta para cumplir con las condiciones de liquidación y obtener ganancias.
Este evento vuelve a resaltar la importancia de la auditoría de seguridad de los contratos inteligentes. Para los proyectos de préstamos, es especialmente necesario prestar atención a la seguridad en aspectos clave como el reembolso de fondos, la detección de liquidez y la liquidación de deudas. Solo a través de auditorías de seguridad rigurosas y evaluaciones de riesgos exhaustivas se puede minimizar la probabilidad de ocurrencia de eventos de seguridad similares y garantizar la seguridad de los activos de los usuarios.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
7 me gusta
Recompensa
7
1
Republicar
Compartir
Comentar
0/400
DaoDeveloper
· hace15h
exactamente lo que esperaríamos con la falta de controles de liquidez... auditoría de contratos inteligentes 101 para ser honesto
Euler Finance sufrió un ataque de flash loan de 197 millones de dólares, exponiendo una grave vulnerabilidad de seguridad en el contrato.
Euler Finance sufrió un ataque de flash loan, con pérdidas cercanas a 200 millones de dólares.
Recientemente, un importante incidente de seguridad ha llamado la atención general en el mundo de las criptomonedas. Según los datos de monitoreo en cadena, el proyecto Euler Finance sufrió un grave ataque de flash loan el 13 de marzo de 2023, que resultó en una pérdida masiva de hasta 197 millones de dólares, involucrando 6 criptomonedas diferentes.
La raíz de este ataque radica en una vulnerabilidad clave en el contrato del proyecto Euler Finance. En concreto, la función donateToReserves en el Etoken del proyecto carecía de un mecanismo de verificación de liquidez necesario, lo que creó una oportunidad para el atacante. El hacker aprovechó esta vulnerabilidad, realizando múltiples llamadas a las funciones relacionadas con diferentes monedas, y finalmente completó este robo masivo de fondos.
El proceso específico del ataque se puede resumir en los siguientes pasos:
El hacker primero obtuvo un préstamo de flash de 30 millones de DAI de una plataforma de préstamos.
Luego se desplegaron dos contratos clave: uno para operaciones de préstamo y otro para operaciones de liquidación.
El hacker pignora 20 millones de DAI prestados en el contrato del Euler Protocol y obtiene aproximadamente 19.5 millones de eDAI.
Utilizando la función de apalancamiento de 10 veces del Protocolo Euler, los hackers tomaron prestados grandes cantidades de eDAI y dDAI.
A través de una manipulación ingeniosa de las funciones repay y mint, el hacker aumentó aún más el límite de préstamo.
El paso clave es llamar a la función donateToReserves, donando un monto equivalente a 10 veces la cantidad a reembolsar, y luego liquidar a través de la función liquidate, obteniendo una gran cantidad de dDAI y eDAI.
Finalmente, el hacker extrajo aproximadamente 38,9 millones de DAI, reembolsó los 30 millones de DAI del préstamo flash inicial y obtuvo una ganancia neta de aproximadamente 8,87 millones de DAI.
Este ataque expuso un grave defecto de diseño en el contrato del proyecto Euler Finance. A diferencia de otras funciones clave, la función donateToReserves carecía del necesario paso de checkLiquidity, que debería haber llamado a RiskManager para asegurar que el Etoken del usuario siempre fuera mayor que el Dtoken. Fue esta negligencia la que permitió al atacante aprovecharse y manipular el estado de su cuenta para cumplir con las condiciones de liquidación y obtener ganancias.
Este evento vuelve a resaltar la importancia de la auditoría de seguridad de los contratos inteligentes. Para los proyectos de préstamos, es especialmente necesario prestar atención a la seguridad en aspectos clave como el reembolso de fondos, la detección de liquidez y la liquidación de deudas. Solo a través de auditorías de seguridad rigurosas y evaluaciones de riesgos exhaustivas se puede minimizar la probabilidad de ocurrencia de eventos de seguridad similares y garantizar la seguridad de los activos de los usuarios.