Euler Finance mengalami serangan pinjaman flash, kehilangan hampir 200 juta dolar AS

Pada 13 Maret 2023, proyek Euler Finance mengalami kerugian besar sekitar $197 juta akibat serangan pinjaman flash karena celah kontrak. Penyerang memanfaatkan celah dalam fungsi donateToReserves dari Etoken di proyek yang kurang memiliki pemeriksaan likuiditas, dan melalui beberapa operasi dengan berbagai jenis mata uang, mereka memperoleh keuntungan yang sangat besar.

Analisis Proses Serangan

Penyerang pertama-tama mendapatkan pinjaman flash 30 juta DAI dari suatu platform pinjaman, kemudian menyebarkan dua kontrak untuk peminjaman dan likuidasi. Langkah utama serangan adalah sebagai berikut:

1. Menyimpan 20 juta DAI ke dalam kontrak Protokol Euler, mendapatkan 19,5 juta eDAI.

2. Menggunakan fungsi pinjaman leverage 10x dari Euler Protocol, meminjam 195,6 juta eDAI dan 200 juta dDAI.

3. Menggunakan sisa 10 juta DAI untuk membayar sebagian utang dan menghancurkan dDAI yang sesuai, kemudian meminjam kembali jumlah eDAI dan dDAI yang setara.

4. Melalui fungsi donateToReserves, sumbangkan 100 juta eDAI, kemudian panggil fungsi liquidate untuk melakukan likuidasi, memperoleh 310 juta dDAI dan 250 juta eDAI.

5. Terakhir, menarik 38,9 juta DAI, setelah mengembalikan Pinjaman Flash, keuntungan sekitar 8,87 juta DAI.

Penyebab Kerentanan

Alasan utama keberhasilan serangan adalah kurangnya pemeriksaan likuiditas yang diperlukan dalam fungsi donateToReserves pada kontrak Euler Finance. Berbeda dengan fungsi kunci lainnya seperti mint, fungsi donateToReserves tidak memanggil checkLiquidity untuk verifikasi likuiditas pengguna, yang memungkinkan penyerang memanipulasi status akun mereka sehingga memenuhi syarat likuidasi, dan dengan demikian menyelesaikan serangan.

Saran Keamanan

Untuk serangan semacam ini, disarankan kepada proyek DeFi:

1. Melakukan audit keamanan menyeluruh sebelum kontrak diluncurkan, untuk memastikan keamanan kode.

2. Perhatikan secara khusus pada aspek-aspek penting seperti pengembalian dana, deteksi likuiditas, dan penyelesaian utang dalam proyek pinjaman.

3. Pastikan semua fungsi yang mungkin mempengaruhi status aset pengguna menerapkan pemeriksaan keamanan yang ketat.

4. Secara berkala melakukan pemindaian kerentanan dan evaluasi keamanan, serta segera memperbaiki risiko yang potensial.

5. Membangun mekanisme respons darurat untuk merespons dan menangani dengan cepat saat terjadi insiden keamanan.

Peristiwa ini sekali lagi menyoroti pentingnya keamanan kontrak pintar, mengingatkan pengembang dan pengguna proyek Web3 untuk selalu waspada dan bersama-sama menjaga keamanan dan stabilitas ekosistem blockchain.