Euler Finance flaş kredi̇ saldirisi sonucunda neredeyse 2 milyar dolar kaybetti
Son günlerde, önemli bir güvenlik olayı kripto para dünyasında geniş bir dikkat çekti. Zincir üzerindeki izleme verilerine göre, Euler Finance projesi 13 Mart 2023'te ciddi bir flaş kredi saldırısına maruz kaldı ve 6 farklı kripto para birimini kapsayan 197 milyon dolara kadar büyük kayıplara neden oldu.
Bu saldırının temel nedeni, Euler Finance projesinin sözleşmesindeki kritik bir güvenlik açığıdır. Özellikle, projenin Etoken'ındaki donateToReserves fonksiyonu gerekli likidite kontrol mekanizmasını içermediğinden, saldırganlar için bir fırsat yaratılmıştır. Hackerlar bu açığı kullanarak, farklı para birimlerine ait ilgili fonksiyonları birden fazla kez çağırarak, nihayetinde bu büyük çaplı fonların çalınmasını gerçekleştirmişlerdir.
Saldırının detaylı süreci aşağıdaki birkaç adımla özetlenebilir:
Hacker öncelikle bir borçlanma platformundan 3000 milyon DAI'lik Flaş Krediler aldı.
Ardından iki ana sözleşme dağıtıldı: biri borç alma işlemleri için, diğeri tasfiye işlemleri için.
Hacker, ödünç aldığı 20 milyon DAI'yi Euler Protocol sözleşmesine teminat olarak yatırdı ve yaklaşık 19.5 milyon eDAI elde etti.
Euler Protocol'ün 10 kat kaldıraç özelliğini kullanarak, hacker büyük miktarda eDAI ve dDAI ödünç aldı.
Akıllıca repay ve mint fonksiyonlarını kullanarak, hacker borç verme limitini daha da artırdı.
Ana adım, donateToReserves fonksiyonunu çağırmak, geri ödenecek miktarın 10 katı kadar bağış yapmaktır; ardından, liquidate fonksiyonu ile tasfiye yapılır ve büyük miktarda dDAI ve eDAI elde edilir.
Son olarak, hacker yaklaşık 38.9 milyon DAI çekti, başlangıçta alınan 30 milyon DAI Flaş Krediler'i geri ödedi ve net kazancı yaklaşık 8.87 milyon DAI oldu.
Bu saldırı, Euler Finance projesinin sözleşmesindeki ciddi bir tasarım hatasını ortaya çıkardı. Diğer kritik fonksiyonlarla karşılaştırıldığında, donateToReserves fonksiyonu gerekli checkLiquidity adımını içermiyor, bu adım RiskManager'ı çağırarak kullanıcıların Etoken'larının her zaman Dtoken'dan büyük olmasını sağlamalıydı. İşte bu ihmal, saldırganların kendi hesap durumlarını manipüle etmelerine ve tasfiye koşullarını sağlamalarına olanak tanıdı, ardından da buradan kar elde ettiler.
Bu olay, akıllı sözleşme güvenlik denetiminin önemini bir kez daha vurgulamaktadır. Borç verme projeleri için özellikle geri ödeme, likidite tespiti ve borç tasfiyesi gibi kritik aşamaların güvenliğine dikkat edilmesi gerekmektedir. Ancak, sıkı güvenlik denetimleri ve kapsamlı risk değerlendirmeleri ile benzer güvenlik olaylarının ortaya çıkma olasılığı en aza indirilebilir ve kullanıcı varlıklarının güvenliği sağlanabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
7 Likes
Reward
7
1
Repost
Share
Comment
0/400
DaoDeveloper
· 11h ago
tam olarak beklediğimiz gibi, likidite kontrolleri eksik... akıllı sözleşme denetimi 101 açıkçası
Euler Finance, 1.97 milyar dolar değerinde flaş kredi saldırısına uğradı. Sözleşme açığı büyük bir güvenlik riski ortaya koyuyor.
Euler Finance flaş kredi̇ saldirisi sonucunda neredeyse 2 milyar dolar kaybetti
Son günlerde, önemli bir güvenlik olayı kripto para dünyasında geniş bir dikkat çekti. Zincir üzerindeki izleme verilerine göre, Euler Finance projesi 13 Mart 2023'te ciddi bir flaş kredi saldırısına maruz kaldı ve 6 farklı kripto para birimini kapsayan 197 milyon dolara kadar büyük kayıplara neden oldu.
Bu saldırının temel nedeni, Euler Finance projesinin sözleşmesindeki kritik bir güvenlik açığıdır. Özellikle, projenin Etoken'ındaki donateToReserves fonksiyonu gerekli likidite kontrol mekanizmasını içermediğinden, saldırganlar için bir fırsat yaratılmıştır. Hackerlar bu açığı kullanarak, farklı para birimlerine ait ilgili fonksiyonları birden fazla kez çağırarak, nihayetinde bu büyük çaplı fonların çalınmasını gerçekleştirmişlerdir.
Saldırının detaylı süreci aşağıdaki birkaç adımla özetlenebilir:
Hacker öncelikle bir borçlanma platformundan 3000 milyon DAI'lik Flaş Krediler aldı.
Ardından iki ana sözleşme dağıtıldı: biri borç alma işlemleri için, diğeri tasfiye işlemleri için.
Hacker, ödünç aldığı 20 milyon DAI'yi Euler Protocol sözleşmesine teminat olarak yatırdı ve yaklaşık 19.5 milyon eDAI elde etti.
Euler Protocol'ün 10 kat kaldıraç özelliğini kullanarak, hacker büyük miktarda eDAI ve dDAI ödünç aldı.
Akıllıca repay ve mint fonksiyonlarını kullanarak, hacker borç verme limitini daha da artırdı.
Ana adım, donateToReserves fonksiyonunu çağırmak, geri ödenecek miktarın 10 katı kadar bağış yapmaktır; ardından, liquidate fonksiyonu ile tasfiye yapılır ve büyük miktarda dDAI ve eDAI elde edilir.
Son olarak, hacker yaklaşık 38.9 milyon DAI çekti, başlangıçta alınan 30 milyon DAI Flaş Krediler'i geri ödedi ve net kazancı yaklaşık 8.87 milyon DAI oldu.
Bu saldırı, Euler Finance projesinin sözleşmesindeki ciddi bir tasarım hatasını ortaya çıkardı. Diğer kritik fonksiyonlarla karşılaştırıldığında, donateToReserves fonksiyonu gerekli checkLiquidity adımını içermiyor, bu adım RiskManager'ı çağırarak kullanıcıların Etoken'larının her zaman Dtoken'dan büyük olmasını sağlamalıydı. İşte bu ihmal, saldırganların kendi hesap durumlarını manipüle etmelerine ve tasfiye koşullarını sağlamalarına olanak tanıdı, ardından da buradan kar elde ettiler.
Bu olay, akıllı sözleşme güvenlik denetiminin önemini bir kez daha vurgulamaktadır. Borç verme projeleri için özellikle geri ödeme, likidite tespiti ve borç tasfiyesi gibi kritik aşamaların güvenliğine dikkat edilmesi gerekmektedir. Ancak, sıkı güvenlik denetimleri ve kapsamlı risk değerlendirmeleri ile benzer güvenlik olaylarının ortaya çıkma olasılığı en aza indirilebilir ve kullanıcı varlıklarının güvenliği sağlanabilir.