大数跨境
首页
>
1.96亿美元被盗!DeFi平台被闪电贷攻击事件始末追溯
>
0
0

1.96亿美元被盗!DeFi平台被闪电贷攻击事件始末追溯

1.96亿美元被盗!DeFi平台被闪电贷攻击事件始末追溯 链析加密实验室
2025-03-25
0
导读:穿越web3迷雾森林安全指南

点击蓝字

关注我们 


2月21日, Bybit 遭遇黑客攻击,累计 14.6 亿美元的ETH被盗,创下历史上单一代币盗窃案的最高纪录。这个案子我们发布了3篇文章从攻击手法、链上资金流向等多角度进行了分析。有兴趣的可以点这里:


而就在 2 月 24 日,加密金融卡服务提供商 Infini 也遭遇黑客攻击,约 4950 万美元资金从其以太坊地址被盗。我们也就此事件写过文章,感兴趣的点这里:私钥泄露惨痛教训:Infini平台被盗4900万美元(附新手防范指南)


这一连串的web3安全事件让最近本就低迷的加密市场雪上加霜,不仅暴露出加密平台在资产安全管理上仍不够严谨,也大大降低了市场流动性,安全问题再次成为关注的焦点。


Bybit事件是利用复杂的社会工程学攻击手法,Infini则是由于权限管理与私钥泄露造成被攻击。那么,今天再给大家科普另一种攻击手法——闪电贷攻击。


1

攻击事件回顾

Review of the attack


2023年3月,Euler Finance 去中心化借代平台遭遇闪贷攻击,导致约1.97亿美元的各种代币被盗。其中包括:


  • 8,877,507.35枚DAI

  • 849.14枚WBTC

  • 34,413,863.42枚USDC

  • 85,818.26枚stETH


攻击者利用平台智能合约中的漏洞,通过闪电贷操纵市场价格,触发平台的清算机制,从而非法窃取资金。

(Euler Finance盗窃案件金额统计表)


这里给大家介绍一下:Euler Finance 是一个基于以太坊和 Optimism 等 Layer 2 网络构建的去中心化的金融平台,致力于提供无缝、高效的借代和借款服务。


而闪电贷攻击通常是依赖于操纵市场价格并触发清算机制,暴露了平台在价格预言和市场稳定性方面的薄弱环节。



2

攻击手法分析

Analysis of attack principles 


1. 攻击者利用闪电贷借出3000万DAI,并创建了两个攻击合约0x583借贷合约,0xA03 是清算合约),随后将 3000 万 DAI 转入借贷合约

2. 接着质押了2000DAI,获得19,568,124eDAI的抵押

3. 再调用mint函数利用这19,568,124eDAI借贷195,681,243eDAI(抵押资产)和200,000,000dDAI(债务资产)

4. 然后将剩余的1000DAI使用repay函数进行质押,再次利用mint函数借贷了195,681,243eDAI200,000,000dDAI

5. 后续进行了donateToReserves操作,将一亿个eDAI进行了销毁,使得eDAI小于了dDAI,满足了清算条件

6. 清算合约对借贷合约进行了清算

7. 最后Euler合约中的3890DAI提取出来,并将3000万个DAI归还给了AAVE,直接获利约310,930,612 枚 eDAI


面对这类攻击事件,平台一定要重点审查智能合约的代码,特别是在涉及市场操控和清算机制部分,需要加强安全防护。而这次事件再次揭示了去中心化金融平台在智能合约设计和市场机制中的潜在漏洞。


对此Euler Finance采取了以下措施来恢复和重建用户信任:


1.资金追回与补偿

平台通过链上追踪追回部分资金,并启动补偿计划,承诺尽可能弥补用户损失,帮助平台恢复用户信任。


2.加强安全性与合约审计

在攻击事件发生后,Euler Finance迅速与安全机构合作,进行了智能合约的全面审计,修复闪电贷漏洞,提升平台整体安全性。


3.治理机制与透明度提升

平台加强去中心化治理机制,提升了决策透明度,同时增强了实时监控系统,快速响应潜在的安全威胁。


3

受害者用户追回

User Recovery


此次攻击事件发生后,还出现了戏剧性的一幕:


有一位受害者给黑客发消息,请求将他的毕生积蓄78枚ETH返还给他


“请考虑退回90%/80%。我只是一个用户,我的毕生积蓄只有78枚ETH存入Euler,我不是鲸鱼或百万富翁。你无法想象我现在的处境有多糟,完全被毁了。我很确定20M已经改变了你的生活,你会给很多受影响的人带来快乐。”


出乎意料的是,黑客竟然给他发送了100ETH。这位受害者也算是“因祸得福”。但我们要提醒的是,这仅仅是非常小概率的事情,一般情况下发生黑客攻击事件,资金大概率无法追回,更别提黑客能主动给你转钱了。


因此,在web3世界中用户需要特别注意安全问题,这也是我们一直在强调的问题,安全永远是第一位的。




而这也是我们做这个账号的初衷和本心,想通过不断科普web3相关专业知识,让更多人避免发生被骗、被盗、丢失数字资产等问题。


如果你担心钱包安全

可以关注我们公众号


进行免费的安全检测

监测潜在风险防止资产被盗


👇👇👇

也可以添加小助手微信号

免费获取《链上分析报告


我们提供以下专业服务:

钱包安全体检:检测你的钱包是否存在授权风险。

加密资产追踪:已经被盗,可提供链上分析报告,帮你追踪资产流向。

防骗法律咨询:遭遇诈骗,可联系我们获得专业建议。


☟ 我们专注于为用户提供 ☟

资金技术服务

资产找回

钱包多签/授权查询

零口供技术支持

链上链下溯源分析

智能合约漏洞救援

安全咨询服务

法律援助

专业律师答疑

应急响应服务

威胁情报和解决方案

✍如有需要,随时联系我们!


专注加密资产生命周期安全管理领域

提供专业数据安全分析与区块链技术

为个人及企业用户提供专业、合规的

加密资产异常追踪与智能找回服务


本文不提供任何投资理财建议,请谨慎甄别守护个人财产安全

如果你想了解更多区块链知识

 ↓ 可以点击下方关注我们 ↓



链析是一家区块链技术安全公司

专注于为用户提供安全咨询及服务

资产找回/零口供技术支持

链上链下溯源分析/智能合约漏洞救援

法律援助/专业律师答疑

应急响应服务/威胁情报和解决方案



【往期精彩回顾】▼▼:

【声明】内容源于网络
0
0
链析加密实验室
链析是国内专业的虚拟货币追溯与分析服务提供商,致力于通过区块链技术、大数据和人工智能解决虚拟货币监管问题,打造链上数据分析平台,构建链上数据监控、分析、穿透和治理的一体化服务模式。
内容 133
粉丝 0
链析加密实验室 链析是国内专业的虚拟货币追溯与分析服务提供商,致力于通过区块链技术、大数据和人工智能解决虚拟货币监管问题,打造链上数据分析平台,构建链上数据监控、分析、穿透和治理的一体化服务模式。
总阅读164
粉丝0
内容133