تعرض مشروع Euler Finance لهجوم القرض الفوري، مما أدى إلى خسارة تقارب 200 مليون دولار
في 13 مارس 2023، تعرض مشروع Euler Finance لهجوم القرض الفوري، مما أدى إلى خسائر ضخمة تبلغ حوالي 197 مليون دولار أمريكي. استغل المهاجم ثغرة في عقد المشروع، وأكمل الهجوم من خلال عمليات متعددة. حاليًا، لا تزال الأموال المسروقة موجودة في حساب المهاجم.
تحليل عملية الهجوم
قام المهاجم أولاً بالاستعانة بـ 30000000 DAI من القروض السريعة من منصة اقتراض معينة، ونشر عقدين: عقد اقتراض وعقد تصفية.
قام المهاجم بإيداع 20 مليون DAI المستعارة في عقد بروتوكول Euler، وحصل على 19.5 مليون eDAI.
باستخدام وظيفة الرافعة المالية لبروتوكول Euler، اقترض المهاجم 195.6 مليون eDAI و200 مليون dDAI.
استخدم المهاجم 10 ملايين DAI المتبقية لسداد جزء من الديون، ودمر 10 ملايين dDAI، ثم اقترض مرة أخرى 195.6 مليون eDAI و200 مليون dDAI.
الخطوات الأساسية: يقوم المهاجم باستدعاء دالة donateToReserves، ويتبرع بمبلغ 100 مليون eDAI، ثم يقوم بالتسوية من خلال دالة liquidate، ويحصل على 310 مليون dDAI و250 مليون eDAI.
أخيرًا، قام المهاجم بسحب 38.9 مليون DAI، وسدد 30 مليون DAI من القروض السريعة، ليحقق في النهاية ربحًا قدره 8.87 مليون DAI.
أسباب الثغرة
السبب الرئيسي لنجاح الهجوم هو وجود عيب في دالة donateToReserves في عقد Euler Finance. على عكس الوظائف الأساسية الأخرى، تفتقر هذه الدالة إلى خطوة التحقق من السيولة الضرورية (checkLiquidity). كان يجب أن يضمن هذا التحقق أن عدد eToken لدى المستخدم أكبر من عدد dToken للحفاظ على الحالة الصحية للعقد.
بسبب نقص هذا الفحص الأساسي، تمكن المهاجمون من وضع أنفسهم في حالة قابلة للتصفية من خلال عمليات محددة، ثم استغلوا ذلك لإكمال الهجوم.
نصائح الأمان
بالنسبة لمشاريع الإقراض المماثلة، يجب الانتباه إلى النقاط الرئيسية التالية:
أمان آلية سداد الأموال
شمولية الكشف عن السيولة
دقة عملية تصفية الديون
قبل إطلاق العقد، من الضروري إجراء تدقيق أمني شامل ومحترف. هذا لا يمكن أن يكشف فقط عن الثغرات المحتملة، ولكن يمكنه أيضًا ضمان الأمان والاستقرار العام للعقد.
تؤكد هذه الحادثة مرة أخرى على أهمية أمان العقود في مجال التمويل اللامركزي. يجب على الفرق المشروع أن تضع الأمان دائمًا في المقام الأول لحماية أصول المستخدمين وصيانة التطور الصحي للنظام البيئي بأكمله.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تعرضت Euler Finance لهجوم القرض الفوري وخسرت ما يقرب من 200 مليون دولار
تعرض مشروع Euler Finance لهجوم القرض الفوري، مما أدى إلى خسارة تقارب 200 مليون دولار
في 13 مارس 2023، تعرض مشروع Euler Finance لهجوم القرض الفوري، مما أدى إلى خسائر ضخمة تبلغ حوالي 197 مليون دولار أمريكي. استغل المهاجم ثغرة في عقد المشروع، وأكمل الهجوم من خلال عمليات متعددة. حاليًا، لا تزال الأموال المسروقة موجودة في حساب المهاجم.
تحليل عملية الهجوم
قام المهاجم أولاً بالاستعانة بـ 30000000 DAI من القروض السريعة من منصة اقتراض معينة، ونشر عقدين: عقد اقتراض وعقد تصفية.
قام المهاجم بإيداع 20 مليون DAI المستعارة في عقد بروتوكول Euler، وحصل على 19.5 مليون eDAI.
باستخدام وظيفة الرافعة المالية لبروتوكول Euler، اقترض المهاجم 195.6 مليون eDAI و200 مليون dDAI.
استخدم المهاجم 10 ملايين DAI المتبقية لسداد جزء من الديون، ودمر 10 ملايين dDAI، ثم اقترض مرة أخرى 195.6 مليون eDAI و200 مليون dDAI.
الخطوات الأساسية: يقوم المهاجم باستدعاء دالة donateToReserves، ويتبرع بمبلغ 100 مليون eDAI، ثم يقوم بالتسوية من خلال دالة liquidate، ويحصل على 310 مليون dDAI و250 مليون eDAI.
أخيرًا، قام المهاجم بسحب 38.9 مليون DAI، وسدد 30 مليون DAI من القروض السريعة، ليحقق في النهاية ربحًا قدره 8.87 مليون DAI.
أسباب الثغرة
السبب الرئيسي لنجاح الهجوم هو وجود عيب في دالة donateToReserves في عقد Euler Finance. على عكس الوظائف الأساسية الأخرى، تفتقر هذه الدالة إلى خطوة التحقق من السيولة الضرورية (checkLiquidity). كان يجب أن يضمن هذا التحقق أن عدد eToken لدى المستخدم أكبر من عدد dToken للحفاظ على الحالة الصحية للعقد.
بسبب نقص هذا الفحص الأساسي، تمكن المهاجمون من وضع أنفسهم في حالة قابلة للتصفية من خلال عمليات محددة، ثم استغلوا ذلك لإكمال الهجوم.
نصائح الأمان
بالنسبة لمشاريع الإقراض المماثلة، يجب الانتباه إلى النقاط الرئيسية التالية:
قبل إطلاق العقد، من الضروري إجراء تدقيق أمني شامل ومحترف. هذا لا يمكن أن يكشف فقط عن الثغرات المحتملة، ولكن يمكنه أيضًا ضمان الأمان والاستقرار العام للعقد.
تؤكد هذه الحادثة مرة أخرى على أهمية أمان العقود في مجال التمويل اللامركزي. يجب على الفرق المشروع أن تضع الأمان دائمًا في المقام الأول لحماية أصول المستخدمين وصيانة التطور الصحي للنظام البيئي بأكمله.