2023 年 3 月 13 日這個星期一,歐拉財經,一種去中心化金融服務,是電腦攻擊的受害者。該協議允許用戶在區塊鏈上借用加密貨幣,但在操作結束時損失了 1.969 億美元。具體來說,攻擊者損失了 870 萬美元的 DAI 穩定幣、850 萬美元的 Wrapped 比特幣、1.358 億美元的 Staked 以太坊和 3380 萬美元的 USDC。此時大約是最大的駭客2023 年。
協議中的缺陷
敲響警報的是區塊鏈公司 PeckShield 的網路安全研究人員。歐拉金融團隊隨後採取措施限制損害。調查很快就與第三方合作展開,其中包括 Chainaanalysis 公司以及美國和英國警察部隊。
PeckShield 專家表示,駭客成功利用了協議代碼中的缺陷。研究人員確定了一個“邏輯不完善”在旨在管理貸款和清算的平台代碼中。部分代碼本應確保貸方用抵押品保證其所有資產的安全,但被發現有缺陷。該部分於去年夏天合併,並由 Sherlock 安全專家審核。 Euler Finance 證實了 PeckShield 的調查結果,並引用「易受攻擊的程式碼」。
上個月,區塊鏈網路安全公司 Halborn 的負責人 David Schwed 感嘆去中心化金融開發人員在安全方面缺乏謹慎。根據專家介紹,設計者經常忽略對其協議的整個程式碼進行審計在將它們放到網上之前。在這種情況下,歐拉金融指出,錯誤代碼確實是由其合作夥伴分析的,但他們沒有發現任何缺陷。最終,第一個發現漏洞的人是一名海盜。
即時貸款
所有專家都同意海盜經歷了即時貸款(英文“閃電貸款”)剝奪歐拉金融的金庫。這種類型的操作在去中心化金融領域非常常見,允許您借入加密貨幣而無需存入任何擔保。然後使用借入的貨幣在去中心化平台上購買資產。該資產很快就會在另一個平台上轉售,最好以更高的價格轉售以賺取利潤。然後借款人償還貸款和到期利息。透過區塊鏈上的單筆交易,一切都會立即發生。
我們的審計合作夥伴之一,@Omniscia_sec,準備了技術事後分析並詳細分析了攻擊。您可以在這裡閱讀他們的報告:https://t.co/u4Z2xdutwe
簡而言之,攻擊者利用了易受攻擊的程式碼,使其能夠創建無擔保的代幣債務…
— 歐拉實驗室🛢️🇬🇧 (@eulerfinance)2023 年 3 月 14 日
透過利用 Euler Finance 漏洞,即時貸款允許駭客“透過向協議儲備金捐贈資金來創建象徵性的無擔保債務頭寸”。根據 Omniscia 公司進行的調查,駭客能夠借出資金,而他們的帳戶沒有足夠的資金來進行必要的立即償還。然後他們清算了參與該行動的帳戶,以獲得清算溢價。
由於該缺陷,協議通常要求的聲明無法在區塊鏈上提出。如果不知道違規行為,攻擊者將永遠無法啟動貸款機制。這就是海盜脫穎而出的原因。他們能夠保留資產過程中,歐拉金融必須恢復。即時貸款參與針對去中心化金融服務的攻擊並不罕見。
「這次攻擊源於不正確的捐贈機制,沒有考慮捐贈者的債務狀況,導致他們創造了永遠無法清算的無擔保債務”Omniscia 在 Medium 上發布的事後分析中總結道。
不出所料,歐拉金融開發人員目前正在努力追回被竊資金。透過區塊鏈聯繫了對這次攻擊負責的人。目前,沒有跡象表明駭客打算與開發商和執法部門合作。
去年,多個去中心化金融協議已被駭客入侵。根據 Beosin 專家的觀察,該行業在一年內遭受了 113 次駭客攻擊。我們將特別記住駭客攻擊區塊鏈和諧,導致 1 億美元被盜、Wormhole 被駭客入侵(3.26 億美元)、Nomad 被盜(1.9 億美元)以及Celer網路攻擊(24 萬美元)。 Beosin 表示,預計未來幾個月此類攻擊將會增加。
來源 : 中等的
