Euler Finance flaş kredi saldırısı yaşadı, yaklaşık 200 milyon dolar kaybetti.

13 Mart 2023'te Euler Finance projesi büyük bir flaş kredi saldırısına uğradı. Zincir üstü izleme verilerine göre saldırgan, projenin sözleşmesindeki bir güvenlik açığından yararlanarak 6 farklı tokeni içeren yaklaşık 197 milyon dolarlık fonu başarıyla çaldı.

Saldırı Süreci Analizi

Saldırgan, önce bir kredi platformundan 30.000.000 DAI'lik Flaş Krediler aldı, ardından iki ana sözleşme dağıttı: biri borç verme işlemleri için, diğeri ise tasfiye için.

Saldırının ana adımları şunlardır:

1. 20 milyon DAI'yi Euler Protocol akdine teminat olarak yatırın, 19.5 milyon eDAI kazanın.

2. Euler Protocol'un 10 kat kaldıraç özelliğini kullanarak 195.6 milyon eDAI ve 200 milyon dDAI ödünç verin.

3. Kalan 10.000.000 DAI ile borcun bir kısmını ödeyin ve buna karşılık gelen dDAI'yi yok edin.

4. Yeniden eşit miktarda eDAI ve dDAI ödünç verin.

5. donateToReserves fonksiyonu ile 100 milyon eDAI bağışlayın, ardından liquidate fonksiyonunu çağırarak 310 milyon dDAI ve 250 milyon eDAI elde edin.

6. Son olarak 38.9 milyon DAI çekildi, 30 milyon Flaş Krediler geri ödendi, net kar yaklaşık 8.87 milyon DAI.

Açık Neden Analizi

Bu saldırının temel açığı, Euler Finance sözleşmesindeki donateToReserves fonksiyonunun gerekli likidite kontrolünden yoksun olmasıdır. Diğer kritik fonksiyonlarla (örneğin mint fonksiyonu) karşılaştırıldığında, donateToReserves fonksiyonu checkLiquidity işlemini gerçekleştirmediği için saldırganlar kendi hesap durumlarını manipüle edebilmekte ve tasfiye koşullarını yerine getirebilmektedir.

Normal koşullarda, checkLiquidity fonksiyonu RiskManager modülünü çağırarak kullanıcının eToken sayısının her zaman dToken sayısından büyük olmasını sağlar. Ancak, donateToReserves fonksiyonunun bu kritik adımı atlaması nedeniyle, saldırganlar güvenlik mekanizmasını aşarak haksız kazanç elde edebilirler.

Güvenlik Önerileri

Bu tür saldırılara karşı, blockchain projeleri şunları yapmalıdır:

1. Sözleşme yayına girmeden önce kapsamlı bir güvenlik denetimi yapılmalı, kod kalitesi ve güvenliği sağlanmalıdır.

2. Özellikle borç verme projelerindeki fon geri ödemesi, likidite tespiti ve borç tasfiyesi gibi kritik aşamalara dikkat edin.

3. Kullanıcı varlık durumunu etkileyebilecek tüm fonksiyonların gerekli güvenlik kontrol adımlarını içermesini sağlayın.

4. Düzenli olarak kod incelemesi ve zafiyet taraması yapılmalı, potansiyel riskler zamanında düzeltilmelidir.

5. Acil durumlar için bir tampon süre bırakmak amacıyla çoklu imza mekanizması veya zaman kilidi gibi ek güvenlik önlemlerinin getirilmesi düşünülmelidir.

Bu olay, akıllı sözleşmelerin güvenliğinin önemini bir kez daha vurgulamaktadır. Proje sahipleri, güvenliği her zaman öncelikli hale getirmeli ve sürekli güvenlik uygulamaları ile teknik yenilikler aracılığıyla daha güvenli ve güvenilir bir Web3 ekosistemi inşa etmelidir.