Euler Finance遭受閃電貸攻擊，損失近2億美元

近日，一起重大安全事件引起了加密貨幣界的廣泛關注。根據鏈上監控數據顯示，Euler Finance項目於2023年3月13日遭遇了一次嚴重的閃電貸攻擊，導致高達1.97億美元的巨額損失，涉及6種不同的加密貨幣。

這次攻擊的根本原因在於Euler Finance項目合約中的一個關鍵漏洞。具體而言，項目的Etoken中的donateToReserves函數缺少了必要的流動性檢查機制，爲攻擊者創造了可乘之機。黑客利用這一漏洞，通過多次調用不同幣種的相關函數，最終完成了這次大規模的資金盜取。

攻擊的具體過程可以概括爲以下幾個步驟：

1. 黑客首先從某借貸平台獲取了3000萬個DAI的閃電貸。

2. 隨後部署了兩個關鍵合約：一個用於借貸操作，另一個用於清算操作。

3. 黑客將借來的2000萬DAI質押到Euler Protocol合約中，獲得了約1950萬個eDAI。

4. 利用Euler Protocol的10倍槓杆功能，黑客借出了大量的eDAI和dDAI。

5. 通過巧妙操作repay和mint函數，黑客進一步增加了借貸額度。

6. 關鍵的一步是調用donateToReserves函數，捐贈了10倍於償還資金的金額，隨後通過liquidate函數進行清算，獲取了大量的dDAI和eDAI。

7. 最後，黑客提取了約3890萬DAI，償還了最初的3000萬DAI閃電貸，淨獲利約887萬DAI。

這次攻擊暴露了Euler Finance項目合約中的一個嚴重設計缺陷。與其他關鍵函數相比，donateToReserves函數缺少了必要的checkLiquidity步驟，這個步驟本應調用RiskManager來確保用戶的Etoken始終大於Dtoken。正是這個疏忽，讓攻擊者有機可乘，能夠操縱自身帳戶狀態，使其符合清算條件，然後從中牟利。

此事件再次凸顯了智能合約安全審計的重要性。對於借貸類項目而言，尤其需要重點關注資金償還、流動性檢測和債務清算等關鍵環節的安全性。只有通過嚴格的安全審計和全面的風險評估，才能最大限度地降低類似安全事件的發生概率，保障用戶資產的安全。