Euler Finance遭受閃電貸攻擊，損失近2億美元

2023年3月13日，Euler Finance項目因智能合約漏洞遭受閃電貸攻擊，造成約1.97億美元的損失。此次攻擊涉及6種代幣，攻擊者利用了項目合約中的一個函數缺陷來實施攻擊。

攻擊過程分析

攻擊者首先從某借貸平台獲取了3000萬DAI的閃電貸，隨後部署了兩個合約用於借貸和清算操作。攻擊主要分爲以下幾個步驟：

1. 將2000萬DAI存入Euler Protocol合約，獲得1950萬eDAI。

2. 利用Euler Protocol的10倍槓杆功能，借出1.956億eDAI和2億dDAI。

3. 使用剩餘1000萬DAI償還部分債務，銷毀相應dDAI，繼續借出更多eDAI和dDAI。

4. 通過donateToReserves函數捐贈1億eDAI，隨後進行清算操作，獲得3.1億dDAI和2.5億eDAI。

5. 最後提取3890萬DAI，償還閃電貸後獲利約887萬DAI。

漏洞原因

攻擊得以成功的主要原因在於Euler Finance合約中的donateToReserves函數缺少必要的流動性檢查。與其他關鍵函數如mint相比，donateToReserves函數沒有調用checkLiquidity進行用戶流動性驗證。

正常情況下，checkLiquidity函數會調用RiskManager模塊來確保用戶的eToken數量大於dToken數量。由於缺少這一關鍵步驟，攻擊者得以操縱自身帳戶狀態，使其處於可被清算的狀態，從而實現不當獲利。

安全建議

此次事件再次凸顯了智能合約安全審計的重要性。對於去中心化金融(DeFi)項目，尤其是涉及借貸功能的平台，需要特別關注以下幾個方面：

1. 資金償還機制的完整性
2. 流動性檢測的全面性
3. 債務清算流程的安全性

項目方應當在合約部署前進行全面的安全審計，確保各個功能模塊的安全性和互操作性。同時，持續的安全監控和及時的漏洞修復也是保障項目長期穩定運行的關鍵。