تعرضت Euler Finance لهجوم القرض الفوري، مع خسائر تقترب من 2 مليار دولار
مؤخراً، أثار حدث أمني كبير اهتماماً واسعاً في عالم العملات المشفرة. وفقاً لبيانات المراقبة على السلسلة، تعرض مشروع Euler Finance لهجوم قرض فوري شديد في 13 مارس 2023، مما أدى إلى خسارة ضخمة بلغت 197 مليون دولار، وشمل ذلك 6 أنواع مختلفة من العملات المشفرة.
السبب الجذري لهذا الهجوم يكمن في ثغرة رئيسية في عقد مشروع Euler Finance. بشكل محدد، يفتقر دالة donateToReserves في Etoken الخاص بالمشروع إلى آلية فحص السيولة اللازمة، مما أتاح فرصة للمهاجمين. استغل القراصنة هذه الثغرة، من خلال استدعاء دوال مختلفة لعملات متعددة عدة مرات، وأنهوا في النهاية عملية سرقة الأموال على نطاق واسع.
يمكن تلخيص العملية المحددة للهجوم في الخطوات التالية:
قام الهاكر أولاً بالحصول على 3000万个 DAI من القروض السريعة من منصة اقتراض معينة.
بعد ذلك تم نشر عقدين رئيسيين: واحد لعمليات الإقراض والاقتراض، والآخر لعمليات التسوية.
قام الهاكر بإيداع 20 مليون DAI المستعار في عقد بروتوكول Euler، وحصل على حوالي 19.5 مليون eDAI.
باستخدام ميزة الرافعة المالية 10x من بروتوكول Euler، قام القراصنة باقتراض كميات كبيرة من eDAI و dDAI.
من خلال استخدام عمليات ذكية على دالة السداد ودالة الصك، زاد القراصنة من حد الاقتراض.
الخطوة الحاسمة هي استدعاء دالة donateToReserves، حيث تم التبرع بمبلغ يعادل 10 أضعاف مبلغ السداد، ثم تم إجراء التسوية من خلال دالة liquidate، مما أدى إلى الحصول على كميات كبيرة من dDAI و eDAI.
أخيراً، قام المتسلل باستخراج حوالي 3890 مليون DAI، وسدد القرض الفوري البالغ 3000 مليون DAI، وحقق ربحاً صافياً قدره حوالي 887 مليون DAI.
هذا الهجوم كشف عن عيب تصميم خطير في عقد مشروع Euler Finance. على عكس الوظائف الرئيسية الأخرى، فإن دالة donateToReserves تفتقر إلى خطوة checkLiquidity الضرورية، وكان من المفترض أن تستدعي RiskManager لضمان أن تكون Etoken للمستخدم دائمًا أكبر من Dtoken. لقد أدى هذا الإغفال إلى منح المهاجمين فرصة لاستغلال الوضع، مما مكنهم من التلاعب بحالة حساباتهم لتتناسب مع شروط التصفية، ومن ثم تحقيق الأرباح.
تُبرز هذه الحادثة مرة أخرى أهمية تدقيق أمان العقود الذكية. بالنسبة لمشاريع الإقراض، من الضروري التركيز بشكل خاص على أمان النقاط الرئيسية مثل سداد الأموال، واختبار السيولة، وتسوية الديون. فقط من خلال تدقيق أمان صارم وتقييم شامل للمخاطر، يمكن تقليل احتمال حدوث حوادث أمان مماثلة إلى الحد الأدنى، وضمان أمان أصول المستخدمين.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 7
أعجبني
7
1
إعادة النشر
مشاركة
تعليق
0/400
DaoDeveloper
· 08-11 00:17
بالضبط ما كنا نتوقعه من دون فحوصات السيولة... تدقيق العقد الذكي 101 بصراحة
تعرضت Euler Finance لهجوم القرض الفوري بقيمة 197 مليون دولار، مما كشف عن ثغرات في العقد تشكل مخاطر أمان كبيرة.
تعرضت Euler Finance لهجوم القرض الفوري، مع خسائر تقترب من 2 مليار دولار
مؤخراً، أثار حدث أمني كبير اهتماماً واسعاً في عالم العملات المشفرة. وفقاً لبيانات المراقبة على السلسلة، تعرض مشروع Euler Finance لهجوم قرض فوري شديد في 13 مارس 2023، مما أدى إلى خسارة ضخمة بلغت 197 مليون دولار، وشمل ذلك 6 أنواع مختلفة من العملات المشفرة.
السبب الجذري لهذا الهجوم يكمن في ثغرة رئيسية في عقد مشروع Euler Finance. بشكل محدد، يفتقر دالة donateToReserves في Etoken الخاص بالمشروع إلى آلية فحص السيولة اللازمة، مما أتاح فرصة للمهاجمين. استغل القراصنة هذه الثغرة، من خلال استدعاء دوال مختلفة لعملات متعددة عدة مرات، وأنهوا في النهاية عملية سرقة الأموال على نطاق واسع.
يمكن تلخيص العملية المحددة للهجوم في الخطوات التالية:
قام الهاكر أولاً بالحصول على 3000万个 DAI من القروض السريعة من منصة اقتراض معينة.
بعد ذلك تم نشر عقدين رئيسيين: واحد لعمليات الإقراض والاقتراض، والآخر لعمليات التسوية.
قام الهاكر بإيداع 20 مليون DAI المستعار في عقد بروتوكول Euler، وحصل على حوالي 19.5 مليون eDAI.
باستخدام ميزة الرافعة المالية 10x من بروتوكول Euler، قام القراصنة باقتراض كميات كبيرة من eDAI و dDAI.
من خلال استخدام عمليات ذكية على دالة السداد ودالة الصك، زاد القراصنة من حد الاقتراض.
الخطوة الحاسمة هي استدعاء دالة donateToReserves، حيث تم التبرع بمبلغ يعادل 10 أضعاف مبلغ السداد، ثم تم إجراء التسوية من خلال دالة liquidate، مما أدى إلى الحصول على كميات كبيرة من dDAI و eDAI.
أخيراً، قام المتسلل باستخراج حوالي 3890 مليون DAI، وسدد القرض الفوري البالغ 3000 مليون DAI، وحقق ربحاً صافياً قدره حوالي 887 مليون DAI.
هذا الهجوم كشف عن عيب تصميم خطير في عقد مشروع Euler Finance. على عكس الوظائف الرئيسية الأخرى، فإن دالة donateToReserves تفتقر إلى خطوة checkLiquidity الضرورية، وكان من المفترض أن تستدعي RiskManager لضمان أن تكون Etoken للمستخدم دائمًا أكبر من Dtoken. لقد أدى هذا الإغفال إلى منح المهاجمين فرصة لاستغلال الوضع، مما مكنهم من التلاعب بحالة حساباتهم لتتناسب مع شروط التصفية، ومن ثم تحقيق الأرباح.
تُبرز هذه الحادثة مرة أخرى أهمية تدقيق أمان العقود الذكية. بالنسبة لمشاريع الإقراض، من الضروري التركيز بشكل خاص على أمان النقاط الرئيسية مثل سداد الأموال، واختبار السيولة، وتسوية الديون. فقط من خلال تدقيق أمان صارم وتقييم شامل للمخاطر، يمكن تقليل احتمال حدوث حوادث أمان مماثلة إلى الحد الأدنى، وضمان أمان أصول المستخدمين.