Euler Finance projesi flaş kredi saldırısına uğradı, yaklaşık 200 milyon dolar kayıp.
13 Mart 2023'te, Euler Finance projesi flaş kredi saldırısına uğradı ve yaklaşık 197 milyon dolarlık büyük bir kayba neden oldu. Saldırganlar, projenin sözleşmesindeki bir açığı kullanarak, bir dizi işlemle saldırıyı gerçekleştirdi. Şu anda, çalınan fonlar hala saldırganın hesabında bulunuyor.
Saldırı Süreci Analizi
Saldırgan öncelikle bir borç verme platformundan 30 milyon DAI değerinde Flaş Krediler aldı ve iki sözleşme dağıttı: bir borç verme sözleşmesi ve bir tasfiye sözleşmesi.
Saldırgan, ödünç aldığı 20 milyon DAI'yi Euler Protocol sözleşmesine teminat olarak yatırdı ve 19.5 milyon eDAI aldı.
Euler Protokolü'nün kaldıraç fonksiyonunu kullanarak, saldırgan 195.6 milyon eDAI ve 200 milyon dDAI borç aldı.
Saldırgan, kalan 10 milyon DAI ile borcunun bir kısmını geri ödedi, 10 milyon dDAI'yi yok etti ve ardından tekrar 195.6 milyon eDAI ve 200 milyon DAI borç aldı.
Anahtar Adımlar: Saldırgan donateToReserves fonksiyonunu çağırdı, 100 milyon eDAI bağışladı, ardından liquidate fonksiyonu aracılığıyla tasfiye gerçekleştirerek 310 milyon dDAI ve 250 milyon eDAI elde etti.
Son olarak, saldırgan 38.9 milyon DAI çıkardı, 30 milyon DAI'lık Flaş Krediler geri ödendi ve nihayetinde 8.87 milyon DAI kazandı.
Açık Sebebi
Saldırının başarılı olmasının başlıca nedeni, Euler Finance sözleşmesindeki donateToReserves fonksiyonundaki bir hatadır. Diğer kritik fonksiyonlarla karşılaştırıldığında, bu fonksiyon gerekli likidite kontrol adımını (checkLiquidity) içermemektedir. Bu kontrol, kullanıcıların eToken miktarının dToken miktarından fazla olmasını sağlamalıdır ki sözleşmenin sağlıklı durumu korunsun.
Bu kritik kontrolün eksikliğinden dolayı, saldırganlar belirli işlemlerle kendilerini tasfiye edilebilir bir duruma sokabiliyor ve bunu kullanarak saldırıyı gerçekleştirebiliyorlar.
Güvenlik Önerileri
Benzer borç verme projeleri için aşağıdaki birkaç önemli noktaya özel dikkat gösterilmesi gerekmektedir:
Fonların geri ödeme mekanizmasının güvenliği
Likidite testinin kapsamı
Borç tasfiye sürecinin titizliği
Akdın piyasaya sürülmesinden önce, kapsamlı ve profesyonel bir güvenlik denetimi yapmak son derece önemlidir. Bu, yalnızca potansiyel açıkları tespit etmekle kalmaz, aynı zamanda akdın genel güvenliğini ve istikrarını da sağlar.
Bu olay, merkeziyetsiz finans alanında sözleşme güvenliğinin önemini bir kez daha vurgulamaktadır. Proje sahipleri, kullanıcı varlıklarını korumak ve tüm ekosistemin sağlıklı gelişimini sürdürmek için güvenliği her zaman öncelikli hale getirmelidir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Euler Finance flaş kredi saldırısı nedeniyle yaklaşık 200 milyon dolar kaybetti.
Euler Finance projesi flaş kredi saldırısına uğradı, yaklaşık 200 milyon dolar kayıp.
13 Mart 2023'te, Euler Finance projesi flaş kredi saldırısına uğradı ve yaklaşık 197 milyon dolarlık büyük bir kayba neden oldu. Saldırganlar, projenin sözleşmesindeki bir açığı kullanarak, bir dizi işlemle saldırıyı gerçekleştirdi. Şu anda, çalınan fonlar hala saldırganın hesabında bulunuyor.
Saldırı Süreci Analizi
Saldırgan öncelikle bir borç verme platformundan 30 milyon DAI değerinde Flaş Krediler aldı ve iki sözleşme dağıttı: bir borç verme sözleşmesi ve bir tasfiye sözleşmesi.
Saldırgan, ödünç aldığı 20 milyon DAI'yi Euler Protocol sözleşmesine teminat olarak yatırdı ve 19.5 milyon eDAI aldı.
Euler Protokolü'nün kaldıraç fonksiyonunu kullanarak, saldırgan 195.6 milyon eDAI ve 200 milyon dDAI borç aldı.
Saldırgan, kalan 10 milyon DAI ile borcunun bir kısmını geri ödedi, 10 milyon dDAI'yi yok etti ve ardından tekrar 195.6 milyon eDAI ve 200 milyon DAI borç aldı.
Anahtar Adımlar: Saldırgan donateToReserves fonksiyonunu çağırdı, 100 milyon eDAI bağışladı, ardından liquidate fonksiyonu aracılığıyla tasfiye gerçekleştirerek 310 milyon dDAI ve 250 milyon eDAI elde etti.
Son olarak, saldırgan 38.9 milyon DAI çıkardı, 30 milyon DAI'lık Flaş Krediler geri ödendi ve nihayetinde 8.87 milyon DAI kazandı.
Açık Sebebi
Saldırının başarılı olmasının başlıca nedeni, Euler Finance sözleşmesindeki donateToReserves fonksiyonundaki bir hatadır. Diğer kritik fonksiyonlarla karşılaştırıldığında, bu fonksiyon gerekli likidite kontrol adımını (checkLiquidity) içermemektedir. Bu kontrol, kullanıcıların eToken miktarının dToken miktarından fazla olmasını sağlamalıdır ki sözleşmenin sağlıklı durumu korunsun.
Bu kritik kontrolün eksikliğinden dolayı, saldırganlar belirli işlemlerle kendilerini tasfiye edilebilir bir duruma sokabiliyor ve bunu kullanarak saldırıyı gerçekleştirebiliyorlar.
Güvenlik Önerileri
Benzer borç verme projeleri için aşağıdaki birkaç önemli noktaya özel dikkat gösterilmesi gerekmektedir:
Akdın piyasaya sürülmesinden önce, kapsamlı ve profesyonel bir güvenlik denetimi yapmak son derece önemlidir. Bu, yalnızca potansiyel açıkları tespit etmekle kalmaz, aynı zamanda akdın genel güvenliğini ve istikrarını da sağlar.
Bu olay, merkeziyetsiz finans alanında sözleşme güvenliğinin önemini bir kez daha vurgulamaktadır. Proje sahipleri, kullanıcı varlıklarını korumak ve tüm ekosistemin sağlıklı gelişimini sürdürmek için güvenliği her zaman öncelikli hale getirmelidir.