واجهت Euler Finance هجوم القرض الفوري، خسارة تقارب 200 مليون دولار
في 13 مارس، تعرض مشروع Euler Finance لهجوم القرض الفوري بسبب ثغرة في العقد الذكي، مما أدى إلى خسارة حوالي 197 مليون دولار. وشمل هذا الهجوم 6 رموز، وهو واحد من أكبر حوادث الأمان في مجال DeFi في الفترة الأخيرة.
تحليل عملية الهجوم
المهاجم أولاً يحصل على 30000000 DAI من القروض السريعة من منصة اقتراض معينة، ثم يقوم بنشر عقدين: عقد اقتراض وعقد تصفية. تسير عملية الهجوم على النحو التالي:
قم بإيداع 20000000 DAI في بروتوكول Euler للحصول على 19500000 eDAI.
استخدام قرض 10 أضعاف من بروتوكول Euler لإقراض 1.956 مليون eDAI و 2 مليون dDAI.
استخدام 10 ملايين DAI المتبقية لسداد جزء من الدين، وإتلاف dDAI المقابل.
اقتراض نفس الكمية من eDAI و dDAI مرة أخرى.
من خلال دالة donateToReserves، تبرع بمبلغ 100 مليون eDAI، ثم استدعاء دالة liquidate للتصفية، للحصول على 310 مليون dDAI و 250 مليون eDAI.
في النهاية، تم سحب 3890 ألف DAI، وسداد 3000 ألف القروض السريعة، وصافي الربح حوالي 887 ألف DAI.
سبب الثغرة
كانت النقطة الأساسية في هذا الهجوم هي أن دالة donateToReserves في Euler Finance تفتقر إلى فحص السيولة الضروري. على عكس الدوال الأخرى مثل mint، لم تستدع donateToReserves دالة checkLiquidity للتحقق من حالة أصول المستخدم. وهذا أتاح للمهاجمين استخدام هذه الدالة لوضع حساباتهم في حالة قابلة للتصفية، مما مكنهم من تنفيذ الهجوم.
في الظروف العادية، تقوم دالة checkLiquidity باستدعاء وحدة RiskManager لضمان أن eToken للمستخدم أكبر من dToken للحفاظ على أمان النظام. ومع ذلك، تتخطى دالة donateToReserves هذه الخطوة المهمة، مما يوفر فرصة للمهاجمين.
نصائح الأمان
تسلط هذه الحادثة الضوء مرة أخرى على أهمية أمان عقود مشاريع DeFi. بالنسبة لمشاريع الإقراض، يجب أن نولي اهتمامًا خاصًا للنقاط التالية:
تأكد من أن جميع الدوال المتعلقة بعمليات الأموال تقوم بإجراء فحص كافٍ للسيولة.
السيطرة الصارمة على رافعة اقتراض المستخدمين، لمنع مخاطر النظام الناتجة عن الرافعة المفرطة.
تنفيذ آليات أمان متعددة، مثل وظيفة الإيقاف الطارئ، للتعامل مع الحوادث الأمنية المفاجئة.
إجراء تدقيق شامل للعقود، مع التركيز بشكل خاص على استرداد الأموال واختبار السيولة وتسوية الديون.
إجراء تقييمات أمان واختبارات ضغط بشكل دوري لاكتشاف وإصلاح الثغرات المحتملة في الوقت المناسب.
تذكّرنا هذه الحادثة الهجومية أنه في عالم Web3 سريع التطور، تظل الأمان دائمًا هي الاعتبار الأول. يجب على الجهات المعنية بالمشاريع استثمار المزيد من الموارد في بناء الأمان، ويحتاج المستخدمون أيضًا إلى زيادة الوعي بالمخاطر، والمشاركة بحذر في مختلف مشاريع DeFi.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تعرضت Euler Finance لهجوم القرض الفوري وخسرت ما يقرب من 200 مليون دولار
واجهت Euler Finance هجوم القرض الفوري، خسارة تقارب 200 مليون دولار
في 13 مارس، تعرض مشروع Euler Finance لهجوم القرض الفوري بسبب ثغرة في العقد الذكي، مما أدى إلى خسارة حوالي 197 مليون دولار. وشمل هذا الهجوم 6 رموز، وهو واحد من أكبر حوادث الأمان في مجال DeFi في الفترة الأخيرة.
تحليل عملية الهجوم
المهاجم أولاً يحصل على 30000000 DAI من القروض السريعة من منصة اقتراض معينة، ثم يقوم بنشر عقدين: عقد اقتراض وعقد تصفية. تسير عملية الهجوم على النحو التالي:
قم بإيداع 20000000 DAI في بروتوكول Euler للحصول على 19500000 eDAI.
استخدام قرض 10 أضعاف من بروتوكول Euler لإقراض 1.956 مليون eDAI و 2 مليون dDAI.
استخدام 10 ملايين DAI المتبقية لسداد جزء من الدين، وإتلاف dDAI المقابل.
اقتراض نفس الكمية من eDAI و dDAI مرة أخرى.
من خلال دالة donateToReserves، تبرع بمبلغ 100 مليون eDAI، ثم استدعاء دالة liquidate للتصفية، للحصول على 310 مليون dDAI و 250 مليون eDAI.
في النهاية، تم سحب 3890 ألف DAI، وسداد 3000 ألف القروض السريعة، وصافي الربح حوالي 887 ألف DAI.
سبب الثغرة
كانت النقطة الأساسية في هذا الهجوم هي أن دالة donateToReserves في Euler Finance تفتقر إلى فحص السيولة الضروري. على عكس الدوال الأخرى مثل mint، لم تستدع donateToReserves دالة checkLiquidity للتحقق من حالة أصول المستخدم. وهذا أتاح للمهاجمين استخدام هذه الدالة لوضع حساباتهم في حالة قابلة للتصفية، مما مكنهم من تنفيذ الهجوم.
في الظروف العادية، تقوم دالة checkLiquidity باستدعاء وحدة RiskManager لضمان أن eToken للمستخدم أكبر من dToken للحفاظ على أمان النظام. ومع ذلك، تتخطى دالة donateToReserves هذه الخطوة المهمة، مما يوفر فرصة للمهاجمين.
نصائح الأمان
تسلط هذه الحادثة الضوء مرة أخرى على أهمية أمان عقود مشاريع DeFi. بالنسبة لمشاريع الإقراض، يجب أن نولي اهتمامًا خاصًا للنقاط التالية:
تأكد من أن جميع الدوال المتعلقة بعمليات الأموال تقوم بإجراء فحص كافٍ للسيولة.
السيطرة الصارمة على رافعة اقتراض المستخدمين، لمنع مخاطر النظام الناتجة عن الرافعة المفرطة.
تنفيذ آليات أمان متعددة، مثل وظيفة الإيقاف الطارئ، للتعامل مع الحوادث الأمنية المفاجئة.
إجراء تدقيق شامل للعقود، مع التركيز بشكل خاص على استرداد الأموال واختبار السيولة وتسوية الديون.
إجراء تقييمات أمان واختبارات ضغط بشكل دوري لاكتشاف وإصلاح الثغرات المحتملة في الوقت المناسب.
تذكّرنا هذه الحادثة الهجومية أنه في عالم Web3 سريع التطور، تظل الأمان دائمًا هي الاعتبار الأول. يجب على الجهات المعنية بالمشاريع استثمار المزيد من الموارد في بناء الأمان، ويحتاج المستخدمون أيضًا إلى زيادة الوعي بالمخاطر، والمشاركة بحذر في مختلف مشاريع DeFi.