Euler Finance flaş kredi saldırısı sonucunda neredeyse 200 milyon dolar kaybetti.

13 Mart 2023'te, Euler Finance projesi bir akıllı sözleşme açığı nedeniyle flaş kredi saldırısına uğradı ve yaklaşık 197 milyon dolar kayıp yaşandı. Saldırganlar, projedeki Etoken'ın donateToReserves fonksiyonunun likidite kontrolü eksikliğinden yararlanarak, farklı kripto paralarla bir dizi işlem yaparak büyük kar elde ettiler.

Saldırı Süreci Analizi

Saldırgan, öncelikle bir borç verme platformundan 30 milyon DAI'lik Flaş Krediler aldı, ardından borç verme ve tasfiye için iki sözleşme dağıttı. Saldırının ana adımları aşağıdaki gibidir:

1. 20 milyon DAI'yi Euler Protocol akdine teminat olarak yatırın, 19.5 milyon eDAI alın.

2. Euler Protokolü'nün 10 kat kaldıraçlı borç verme özelliğini kullanarak, 195.6 milyon eDAI ve 200 milyon dDAI borç verildi.

3. Kalan 10 milyon DAI ile kısmi borç ödeyin ve ilgili dDAI'yi yok edin, ardından eşit miktarda eDAI ve dDAI'yi tekrar borç alın.

4. donateToReserves fonksiyonu aracılığıyla 100 milyon eDAI bağışlayın, ardından likidite sağlamak için liquidate fonksiyonunu çağırarak 310 milyon dDAI ve 250 milyon eDAI alın.

5. Son olarak 38,9 milyon DAI çekildi, flaş krediler geri ödendikten sonra yaklaşık 8,87 milyon DAI kâr edildi.

Açığın Nedeni

Saldırının başarılı olmasının başlıca nedeni, Euler Finance sözleşmesindeki donateToReserves fonksiyonunun gerekli likidite kontrolünü içermemesidir. Mint gibi diğer kritik fonksiyonların aksine, donateToReserves fonksiyonu kullanıcı likidite doğrulaması için checkLiquidity'i çağırmamaktadır; bu da saldırganların kendi hesap durumlarını manipüle etmelerine ve bunların tasfiye koşullarını karşılamalarına olanak tanımaktadır, böylece saldırıyı tamamlayabilmektedirler.

Güvenlik Önerileri

Bu tür saldırılar için DeFi projelerine öneriler:

1. Sözleşme yayına girmeden önce kapsamlı bir güvenlik denetimi yaparak kodun güvenliğini sağlamak.

2. Özellikle borç verme projelerindeki fon geri ödemesi, likidite tespiti ve borç tasfiyesi gibi kritik aşamalara dikkat edilmelidir.

3. Kullanıcı varlık durumunu etkileyebilecek tüm fonksiyonların sıkı güvenlik kontrolleri uyguladığından emin olun.

4. Düzenli olarak güvenlik açığı taramaları ve güvenlik değerlendirmeleri yaparak potansiyel riskleri zamanında düzeltin.

5. Acil müdahale mekanizması oluşturun, böylece güvenlik olayları meydana geldiğinde hızlı bir şekilde yanıt verebilir ve müdahale edebilirsiniz.

Bu olay, akıllı sözleşmelerin güvenliğinin önemini bir kez daha vurgulamakta ve Web3 proje geliştiricileri ile kullanıcılarını her zaman tetikte olmaya, blok zinciri ekosisteminin güvenliği ve istikrarını birlikte korumaya çağırmaktadır.