黑客通过闪电贷攻击从借贷协议Euler Finance窃取近2亿美元。
3月13日,借贷协议Euler Finance遭遇加密货币闪电贷(Flash Loan)攻击,攻击者成功窃取了价值约1.97亿美元的数字资产,包括价值约875万美元的DAI、价值约1850美元的WBTC、价值约3385万美元的USDC和价值约1.358亿美元的stETH。闪电贷攻击利用了借贷协议中的安全漏洞来窃取资金,大多被用在套利、攻击或置换借款的抵押品。
区块链安全和分析公司PeckShield称Euler被黑的原因是其抵押和清算系统存在逻辑漏洞。具体来说,函数“donateToReserves”并不会验证攻击者是否抵押了超过其资产的资金,清算系统也未正确验证借贷金额与抵押资产的比率。
Euler Finance逻辑漏洞(PeckShield)
逻辑漏洞是的攻击者可以操作借贷金额与抵押资产的比率以从清算过程中获利。
PeckShield分析称,该攻击者中有2名攻击者参与,一个借贷人和一个清算人,两人协调以发起闪电贷攻击,攻击流程如下:
攻击流程(PeckShield)
攻击者用来保存窃取的加密货币的ETH钱包已被追踪,因此攻击者很难将这些资金转化为美元等货币。
但Elliptic报告分析称,攻击者已通过加密货币混淆器Tornado Cash对窃取的加密货币进行了混淆。
此次攻击导致Euler (EUL) token的价值一夜之间从6.56美元下跌到3.37美元,下跌了44.2%。
近年来,针对DeFi的攻击事件越来越多。目前,黑客的攻击重心已从攻击交易所转向利用加密借贷平台的智能合约漏洞来实现快速获利。
参考及来源:https://www.bleepingcomputer.com/news/security/hackers-steal-197-million-in-crypto-in-euler-finance-attack/