2023年3月13日,EulerFinance資金池遭遇閃電貸攻擊,預計損失總計約1.95億美元。這一數字也是2023年迄今為止Web3領域所有其他安全事件資產損失總額的兩倍以上。
根據EulerFinance對自己描述,該平臺是“以太坊上的一個允許用戶借出和借入幾乎任何加密貨幣資產的非托管協議”。
造成該攻擊的原因主要是EulerPool合約中的`donateToReserve`存在漏洞。由于該功能缺乏對調用者倉位健康度的檢查,用戶可以通過自主放棄一部分杠桿存款,使自身倉位失衡,從而使用Euler特色的清算規則清算自己的倉位而獲利。
美眾議院金融服務委員會:正深入研究如何更好地監管加密行業:金色財經報道,據官方推特消息,美國眾議院金融服務委員會正在關注加密貨幣作為長期投資的影響,并正在深入研究如何更好地監管這個快速增長的行業。[2021/7/1 0:18:18]
攻擊者利用閃電貸借來的資產,首先通過Euler借貸協議中獨特的`mint'功能以及Euler資金池合約中易受攻擊的'donateToReserves'功能創建了一個高杠桿且資不抵債的狀況。隨后攻擊者在同一筆交易以清算者的身份清算自己創建的資不抵債的倉位“免費”獲得大量衍生eToken。最后通過提款耗盡資金池,并在多個EulerPools反復實施攻擊,以耗盡所有資金池。
央行上海總部:深入推進金融科技創新監管試點:5月12日,央行上海總部發布通知稱,下一步將加強對金融科技應用創新試點工程的組織領導,并會同上海市地方金融監管局等單位,深入推進金融科技創新監管試點,提升金融科技支撐能力。中國人民銀行于2020年4月26日支持在上海等6市(區)擴大金融科技創新監管試點,這標志著金融科技創新監管工作正式在上海啟動,也為加快推進上海金融科技中心建設再添助力。
近年來,人民銀行上海總部把大力發展金融科技作為推動上海國際金融中心和科技創新中心聯動發展的重要著力點,積極探索設計上海金融科技中心的建設與發展路徑,發布了《關于促進金融科技發展 支持上海建設金融科技中心的指導意見》(銀總部發〔2019〕67號)。
央行上海總部明確,下一步將以《發展規劃》為指引,加強對金融科技應用創新試點工程的組織領導,并會同上海市地方金融監管局等單位,深入推進金融科技創新監管試點,加大試點項目橫向交流和成果共享,深化金融市場科技應用,提升金融科技支撐能力,為把上海建設成為與國際金融中心地位相適應的金融科技中心提供有力支撐。(中新經緯APP)[2020/5/12]
下面是對某一資金池的攻擊流程,還有其他四個具有相同漏洞的資金池也被攻擊了。
動態 | 中科院計算所將聯合沈陽市紀委監委 推動區塊鏈等技術在紀檢監察領域的深入應用:據科學網消息,中科院計算所研究員方金云近日接受采訪時表示,中科院計算所將與沈陽市紀委監委聯合成立大數據監督技術研究中心,以沈陽市正風肅紀監督,營商環境優化為試驗田,繼續推進大數據、人工智能、區塊鏈等契合時代發展的信息技術在紀檢監察領域的深入應用。[2019/1/13]
攻擊流程
①攻擊者從AAVE閃電貸到3000萬DAI。
②攻擊者通過eDAI合約向Euler存入2000萬DAI,并收到2000萬eDAI。在攻擊者存入2000萬DAI之前,Euler池中的DAI余額為890萬。
③調用`eDAI.mint()`。該特定的`mint`功能是EuleFinancer獨有的,可允許用戶反復借款和還款。這是一種創建借貸循環的方法,其結果是帶杠桿的借貸倉位。
馬耳他區塊鏈暨比特幣大會:深入探討國家區塊鏈戰略及數字貨幣立法問題:上周,在馬耳他圣朱利安舉辦了馬耳他區塊鏈暨比特幣大會(Blockchain & Bitcoin Conference Malta),對涉及加密數字貨幣、區塊鏈和ICO等問題進行了深入探討。馬耳他政府的高級官員和國家區塊鏈戰略制定者們出席了本次會議。據悉,本次大約吸引400位業內人士參會,包括行業開發人員、投資人、企業家、銀行和信貸機構代表、以及金融科技專家、律師和記者等。觀眾聽取了20位嘉賓的演講,同時也有15家公司登臺進行了展示。[2017/12/13]
④調用`mint`后,收到2億dDAI和1.95.6億eDAI。(注:dTokens代表債務代幣,eTokens代表抵押股權)。
⑤調用"repay",將eDAI池中的1000萬DAI償還給Euler,這就將1000萬dDAI銷毀了。隨后再次調用"mint",為攻擊合約創造另一個2億dDAI和1.956億eDAI形式的借貸倉位。此時攻擊者的倉位為:3.9億dDAI和4億eDAI。
⑥調用`donateToReserves`,將1億eDAI轉給Euler。由于沒有對這一行為的抵押狀況進行適當的檢查,"donate"后的攻擊者成為了"違規者",其風險調整后負債遠超過了的抵押品價值,因此可以對其進行清算。此時攻擊者的倉位為:3.9億dDAI和3億eDAI。
⑦攻擊者部署的清算人合約開始清算“違規者”。EulerFinance清算邏輯中一個特色功能是當被清算人的借貸倉位極其不健康時,清算人員可以在此過程中獲得最高20%的“折扣”。
⑧通過清算,清算人獲得了2.59億dDAI的“債務”,獲得3.1eDAI的“資產”。清算過程中轉讓的債務總額比資產低得多。清算人獲得了價值近4500萬的eDAI資產。
⑨清算人通過獲得的eDAI從協議中取走了所有的3890萬DAI的抵押品,然后償還了閃電貸款,獲利800萬美元。
攻擊者目前在地址一持有價值1350萬美元的ETH,在地址二持有1.48億美元的ETH以及4300萬DAI。
地址一:
https://etherscan.io/address/0xB2698C2D99aD2c302a95A8DB26B08D17a77cedd4
地址二:
https://etherscan.io/address/0xb66cd966670d962C227B3EABA30a872DbFb995db
神奇的是,第一次攻擊交易竟被MEV機器人無意攔截了。該機器人獲得了879萬美元的DAI。可惜攻擊者合約里把提款地址寫死了,MEV機器人在試圖歸還資金的過程中只能把截攔到的資金發到攻擊者的地址。
第二到第五筆攻擊使黑客獲得了價值1.77億美元的資產。
MEV機器人的所有者在鏈上留言并解釋他們無法歸還這些錢,并對受影響的用戶感到抱歉和遺憾。
寫在最后
目前,該事件是2023年Web3領域最大的一次黑客攻擊。EulerFinance在推文中承認了這一事件的真實性,并表示他們目前正在與安全專家和執法部門進行合作。
EulerFinance團隊的整體安全水平和意識在行業內處于相對較高的水準,目前也已與很多安全公司進行了合作。項目進行過審計,也有bugbounty漏洞賞金計劃加持,不過項目還是未能逃過黑客的磨爪。
因此CertiK安全專家再次提醒,新添加的功能,務必也要進行審計。由于上述合約漏洞是https://forum.euler.finance/t/eip-14-contract-upgrades/305引進的,才造成了如此嚴重的后果。
所以審計并不是一勞永逸的,合約在添加新功能時,務必要重新對新添加功能進行審計,否則即便已審計過“千里之堤”,也可能潰于未審計的“蟻穴”。
各位朋友,歡迎來到SignalPlus每日晨報。SignalPlus晨報每天為各位更新宏觀市場信息,并分享我們對宏觀趨勢的觀察和看法。歡迎追蹤訂閱,與我們一起關注最新的市場動態.
1900/1/1 0:00:00CertiK正式宣布與MPC錢包供應商ZenGo錢包達成合作,以加強其錢包應用程序的安全性并防止特權用戶攻擊.
1900/1/1 0:00:00據區塊鏈瀏覽器TRONSCAN數據,截至2月3日,波場TRON交易總數達到4,803,362,360,正式突破48億.
1900/1/1 0:00:00一、行業動態總結 上周加密市場表現出了極強的韌性與彈性,周一至周三在美股上漲的階段比特幣上漲12%,周五開始跟隨美股回調,但國內時間周六頂住了美股繼續回調的壓力完成反彈,并在周末繼續小幅上漲.
1900/1/1 0:00:00自Web3.0興起以來,不知道大家有沒有聽說過tokenomics這個加密專有術語?Tokenomics指的是token與持有者及其各自生態系統的創建、管理和交互.
1900/1/1 0:00:00區塊鏈瀏覽器TRONSCAN最新數據顯示,截至2023年4月3日,波場TRON賬戶總數達到150,379,816,正式突破1.5億.
1900/1/1 0:00:00