3 月 13 日，针对顶级去中心化金融 (DeFi) 借贷协议之一 Euler Finance 的闪电贷攻击导致了 2023 年最大的加密货币漏洞。这次攻击使贷款协议损失了约 1.95 亿美元，并且还造成了超过11 种其他 DeFi 协议。 该事件引起了人们对 DeFi 平台安全性和外部审计有效性的担忧。

利用智能合约代码中的缺陷来操纵系统的闪电贷攻击在 DeFi 领域越来越频繁。 闪电贷的用户可以在不提供任何质押品的情况下借钱，但他们必须在一次交易中偿还。 攻击者借出一笔可观的贷款，并用这笔钱来操纵资产价值，产生虚假的流动性，或利用智能合约中的弱点。 一旦交易完成，袭击者就会偿还债务并拿走钱。

针对欧拉金融的攻击，使用了来自另一个 DeFi 平台的闪电贷。 攻击者利用了在外部审计期间未报告的 Euler 协议中的一个缺陷。 “donateToReserves”中缺少健康检查导致了该漏洞，该漏洞与 EIP-14 中包含的新功能相关，并允许攻击者从协议中窃取资金。

我们今天为 Euler 协议用户收回资金的工作更新。

以下是我们立即采取的一些行动：

1.通过帮助禁用EToken模块，尽快阻止直接攻击，该模块阻止了存款和易受攻击的捐赠功能

2. 从事 TRM …… https://t.co/6ZClE9uGoH

– 欧拉实验室 (@eulerfinance) 2023 年 3 月 14 日

推荐阅读 1

亚马逊 NFT 市场将于下月推出

3小时前 2

SVB 欠 Roblox 1.5 亿美元，政府将支付

3小时前

为应对此次攻击，欧拉金融迅速封锁了存款，并禁用了捐赠功能和弱 etoken 模块。 该公司还联系了多家安全组织对其协议进行评估，并在外部审计期间对暴露的代码进行了检查和授权。 然而，尽管有 100 万美元的漏洞赏金，但该漏洞在链上保留了八个月，直到被利用。

过去曾与 Euler Finance 合作的审计小组 Sherlock 验证了漏洞利用的根本原因，并帮助 Euler 提交了索赔。 审计协议后来对 450 万美元的索赔进行了投票，该索赔获得通过，随后于 3 月 14 日执行了 330 万美元的支付。该事件引发了人们对外部审计的有效性以及 DeFi 平台是否需要采取更强有力的安全措施的质疑。

同样，Sherlock 支持每一位审查 Euler 的审计师。

Sherlock 最初与@cmichelio 合作，于 2021 年 12 月审核了 Euler 的第一个版本，然后与@shw9453 合作在 2022 年 1 月审核了一个非常小的更新，最后与@WatchPug_ 合作在 2022 年 7 月审核了 EIP-14。

-夏洛克 (@sherlockdefi) 2023 年 3 月 13 日

Euler Finance 攻击也表明了 DeFi 平台和安全公司之间加强合作的必要性。 为了协助调查和追回现金，Euler Finance 已经联系了 TRM Labs、Chainalysis 和更大的 ETH 安全社区等顶级链上分析和区块链安全公司。 该平台还试图与攻击者取得联系，以了解有关该问题的更多信息，并可能制定赏金以取回被盗的钱。