2023 年 3 月 13 日这个星期一,欧拉财经,一种去中心化金融服务,是计算机攻击的受害者。该协议允许用户在区块链上借用加密货币,但在操作结束时损失了 1.969 亿美元。具体来说,攻击者损失了 870 万美元的 DAI 稳定币、850 万美元的 Wrapped 比特币、1.358 亿美元的 Staked 以太坊和 3380 万美元的 USDC。此时大约是最大的黑客2023 年。
协议中的缺陷
敲响警报的是区块链公司 PeckShield 的网络安全研究人员。欧拉金融团队随后采取措施限制损害。调查很快与第三方合作展开,其中包括 Chainaanalysis 公司以及美国和英国警察部队。
PeckShield 专家表示,黑客成功利用了协议代码中的缺陷。研究人员确定了一个“逻辑不完善”在旨在管理贷款和清算的平台代码中。部分代码本应确保贷方用抵押品保证其所有资产的安全,但被发现存在缺陷。该部分于去年夏天合并,并由 Sherlock 安全专家审核。 Euler Finance 证实了 PeckShield 的调查结果,并援引“易受攻击的代码”。
上个月,区块链网络安全公司 Halborn 的负责人 David Schwed 感叹去中心化金融开发商在安全方面缺乏谨慎。据专家介绍,设计师经常忽视对其协议的整个代码进行审计在将它们放到网上之前。在这种情况下,欧拉金融指出,错误代码确实是由其合作伙伴分析的,但他们没有发现任何缺陷。最终,第一个发现漏洞的人是一名海盗。
即时贷款
所有专家都同意海盗经历了即时贷款(英文“闪电贷”)剥夺欧拉金融的金库。这种类型的操作在去中心化金融领域非常常见,允许您借入加密货币而无需存入任何担保。然后使用借入的货币在去中心化平台上购买资产。该资产很快就会在另一个平台上转售,最好以更高的价格转售以赚取利润。然后借款人偿还贷款和到期利息。通过区块链上的单笔交易,一切都会立即发生。
我们的审计合作伙伴之一,@Omniscia_sec,准备了技术事后分析并详细分析了攻击。您可以在这里阅读他们的报告:https://t.co/u4Z2xdutwe
简而言之,攻击者利用了易受攻击的代码,使其能够创建无担保的代币债务……
— 欧拉实验室🛢️🇬🇧 (@eulerfinance)2023 年 3 月 14 日
通过利用 Euler Finance 漏洞,即时贷款允许黑客“通过向协议储备金捐赠资金来创建象征性的无担保债务头寸”。根据 Omniscia 公司进行的调查,黑客能够借出资金,而他们的账户没有足够的资金来进行必要的立即偿还。然后他们清算了参与该行动的账户,以获得清算溢价。
由于该缺陷,协议通常要求的声明无法在区块链上提出。如果不知道违规行为,攻击者将永远无法激活贷款机制。这就是海盗脱颖而出的原因。他们能够保留资产在此过程中,欧拉金融必须恢复。即时贷款参与针对去中心化金融服务的攻击并不罕见。
“此次攻击源于不正确的捐赠机制,没有考虑捐赠者的债务状况,导致他们创造了永远无法清算的无担保债务”Omniscia 在 Medium 上发布的事后分析中总结道。
不出所料,欧拉金融开发人员目前正在努力追回被盗资金。通过区块链联系了对这次攻击负责的人。目前,没有迹象表明黑客打算与开发商和执法部门合作。
去年,多个去中心化金融协议已被黑客入侵。根据 Beosin 专家的观察,该行业在一年内遭受了 113 次黑客攻击。我们将特别记住黑客攻击区块链和谐,导致 1 亿美元被盗、Wormhole 被黑客攻击(3.26 亿美元)、Nomad 被盗(1.9 亿美元)以及Celer网络攻击(240,000 美元)。 Beosin 表示,预计未来几个月此类攻击将会增加。
来源 : 中等的
