This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Euler Financeが2億ドルのフラッシュローン攻撃を受け、契約の脆弱性が主な原因となった
Euler Financeはフラッシュローン攻撃を受け、約2億ドルの損失を被りました
2023年3月13日、Euler Financeプロジェクトは契約の脆弱性によりフラッシュローン攻撃を受け、約1.97億ドルの重大な損失を被りました。攻撃者はプロジェクト内のEtokenのdonateToReserves関数の流動性チェックが不足している脆弱性を利用し、複数の異なるコインを操作することで巨額の利益を得ました。
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-d96e9a72838647eecb62e1dfc48f2f5d.webp)
攻撃プロセス分析
攻撃者はまずある貸出プラットフォームから3000万DAIのフラッシュローンを取得し、その後、貸出と清算の2つの契約を展開しました。攻撃の主なステップは以下の通りです:
オイラー議定書契約に2,000万DAIを賭け、1,950万eDAIを取得します。
オイラープロトコルの10倍レバレッジ貸付機能を活用して、1億9,560万eDAIと2億dDAIを貸し出します。
残りの1000万DAIを使用して一部の債務を返済し、相応のdDAIを消却した後、再び同等数量のeDAIとdDAIを借り出します。
donateToReserves関数を通じて1億eDAIを寄付し、次に清算関数を呼び出して清算し、3億1,000万dDAIと2億5,000万eDAIを取得します。
最後に3890万DAIを引き出し、フラッシュローンを返済した後、約887万DAIの利益を得ました。
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-32928681c9e7631491b5a5f1699820a9.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-6d4e5a95a6c33353e8f326a5f074b12b.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-a52f3c784e670d5ebb507b20436f78a0.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-6246cad18508cd8a8c88619d67fe149c.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-84b8e2f409d5518b194b74407b07e02e.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-17ba97f8bbe91404afdca27e5c1dc559.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-469ffb75f34d18ce6807e39d655ca789.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-365fa6b36d54052ee6efd59f44a1a6f5.webp)
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-c071e7e84eb0dc7826b7c954f546987e.webp)
脆弱性の原因
攻撃が成功した主な原因は、Euler Financeの契約内のdonateToReserves関数に必要な流動性チェックが欠如していることです。mintなどの他の重要な関数とは異なり、donateToReserves関数はユーザーの流動性検証のためにcheckLiquidityを呼び出していないため、攻撃者は自らのアカウント状態を操作し、清算条件を満たすことができ、攻撃を完了しました。
! [オイラーファイナンスの脆弱性分析:フラッシュローンに攻撃され、1億9,700万ドルを失う方法] ](https://img-cdn.gateio.im/webp-social/moments-a00d28f9fe7463d52cfd055540fad6af.webp)
セキュリティの提案
この種の攻撃に対して、DeFiプロジェクトに推奨されることは:
コントラクトのローンチ前に包括的なセキュリティ監査を行い、コードの安全性を確保する。
借入・貸出プロジェクトにおける資金返済、流動性検査、債務清算などの重要なプロセスに特に注目してください。
ユーザーの資産状態に影響を与える可能性のあるすべての関数が厳格なセキュリティチェックを実施することを確認してください。
定期的に脆弱性スキャンとセキュリティ評価を行い、潜在的なリスクを迅速に修正します。
セキュリティ事件が発生した際に迅速に反応し対処できるよう、緊急対応メカニズムを構築する。
この事件は、スマートコントラクトのセキュリティの重要性を再度浮き彫りにし、Web3プロジェクトの開発者やユーザーに常に警戒を怠らず、ブロックチェーンエコシステムの安全性と安定性を共に維持するように促しています。