Back to Blog

DeFi-Exploit-Analyse: Ursache für Eulers 200-Mio.-Dollar-Verlust

March 13, 2023
4 min read

Am 13. März 2023 erlebte Euler Finance, ein dezentrales Finanzierungs- (DeFi) Kreditprotokoll auf Ethereum, einen Flashloan-Angriff, der zu Verlusten von rund 200 Millionen US-Dollar führte. Die Ursache wurde als das Fehlen einer Liquiditätsprüfung in der Funktion donateToReserves() identifiziert. Als Blockchain-Sicherheitsunternehmen überwacht BlockSec kontinuierlich solche Exploits, um die DeFi-Sicherheit zu verbessern und digitale Vermögenswerte zu schützen.

Datum Angriffstyp Kette Verloren Wiederhergestellt
2023-03-13 Geschäftslogikfehler ETH ca. 200 Mio. $ Ja

Euler Finance gehörte vor dem Angriff zu den Top 30 DeFi-Protokollen auf DefiLlama. Sein Total Value Locked (TVL) fiel dramatisch von 264 Millionen US-Dollar auf 10 Millionen US-Dollar, ein Rückgang von 96 %.

Schlüsselkonzepte

Um den Exploit zu verstehen, ist es unerlässlich, die Mechanismen von Euler Finance für Self-Borrowing und Soft Liquidation zu kennen:

  • Self-Borrowing: Ermöglicht es Benutzern, neue Vermögenswerte zu prägen und Schulden zu erhöhen, indem sie neu geprägte ETokens als Sicherheit verwenden, was effektiv Hebelwirkung ermöglicht.
  • Soft Liquidation: Erlaubt Liquidatoren, die Schulden der liquidierten Partei flexibel zurückzuzahlen, anstatt einen festen Liquidationskoeffizienten zu verwenden.

Diese Mechanismen, obwohl innovativ, führten zu ausnutzbaren Schwachstellen, die der Angreifer nutzte.

Angriffs-Analyse

Der Angreifer führte den Exploit durch folgende Schritte aus:

  1. Flashloan von 30 Mio. DAI von AAVE.
  2. Einzahlung von 20 Mio. DAI in Euler Finance und Erhalt von 20 Mio. eDAI.
  3. Nutzung der Kreditaufnahme-Fähigkeit von Euler, um 195 Mio. eDAI und 200 Mio. dDAI zu prägen.
  4. Zurückzahlung von 10 Mio. Schulden zur Prägung weiterer eDAI, wodurch 215 Mio. eDAI und 190 Mio. dDAI gehalten wurden.
  5. Wiederholung von Schritt 4, wodurch die Bestände auf 410 Mio. eDAI und 390 Mio. dDAI erhöht wurden.
  6. Aufruf der Funktion donateToReserves() zur Spende von 100 Mio. eDAI.
function donateToReserves(uint256 amount) external {
    // Fehlende Liquiditätsprüfung ermöglicht Exploit
    // Funktionslogik hier
}

Während dieses Prozesses wurde der Gesundheitsfaktor des Angreifers nicht überprüft, was die Liquidation seiner eigenen Position zur Gewinnerzielung ermöglichte. Der Angreifer liquidierte sich selbst, entzog 38 Mio. eDAI und beglich den Flashloan.

Der Exploit war ein Flashloan-Angriff, der eine Schwachstelle in der Geschäftslogik des Smart Contracts ausnutzte.

Starten Sie mit Phalcon Security

Erkennen Sie jede Bedrohung, alarmieren Sie, was wichtig ist, und blockieren Sie Angriffe.

Jetzt kostenlos testen

Zusammenfassung

Das Kernproblem war die fehlende Liquiditätsprüfung in der Funktion donateToReserves() in Kombination mit einem dynamischen Rabattmechanismus für die Liquidation. Dies schuf eine Arbitragemöglichkeit, die es dem Angreifer ermöglichte, eine große Menge an Krypto-Assets ohne entsprechende Sicherheiten oder Schuldentilgung auszunutzen.

Nachfolgende Schritte

Bemerkenswerterweise wurden rund 135 Millionen US-Dollar der gestohlenen Gelder – hauptsächlich gestaktes Ether (stETH), Bitcoin und Stablecoins wie DAI und USDC – vollständig wiederhergestellt. Der Angreifer war ein 19-jähriger Argentinier namens Federico Jaime, der drei Wochen später aus moralischen Gründen alle gestohlenen Vermögenswerte zurückgab.[1]

BlockSec hat den Vorfall aktiv überwacht. Unsere offiziellen Twitter-Accounts @BlockSecTeam und @MetaSleuth lieferten kontinuierliche Updates. Am 18. März 2023 gab der Angreifer 3.000 Ether zurück, eine Woche später 51.000 Ether, wobei die restlichen Gelder in den folgenden Tagen zurückgegeben wurden.

Während des Rückerstattungsprozesses traten Phishing-Betrugsmaschen auf, die den Vorfall ausnutzten. Betrüger erstellten eine Phishing-Seite, eulerrefunds.cxx, und täuschten einige Benutzer.

MetaSleuth, BlockSecs Hochleistungs-Tool für die Analyse von fondsströmen über Blockketten hinweg, ermöglichte die nahezu Echtzeit-Verfolgung betroffener digitaler Vermögenswerte während der Angriffs- und Rückerstattungsphasen.

Untersuchen Sie mit MetaSleuth

Verfolgen Sie Ströme und erstellen Sie Beweise für Ermittlungen

Jetzt kostenlos testen

Mehr über Blockchain-Sicherheit

Dieser Fall ist einer von vielen, die die kritische Notwendigkeit robuster Blockchain-Sicherheit verdeutlichen. BlockSec bietet umfassende Sicherheitsdienstleistungen für Blockchain-Projekte, darunter:

  • Smart Contract Audits während der Entwicklung zur Identifizierung von Schwachstellen.
  • Phalcon Security, eine SaaS-Plattform, die Vorfallalarme und automatische Blockierungen zur Verhinderung von Krypto-Hacks bietet.
  • MetaSleuth für erhöhte Rückverfolgbarkeit und Transparenz digitaler Vermögenswerte.
  • Infrastruktur-Audits zur Sicherung der zugrunde liegenden Blockchain-Umgebung.

Bester Sicherheitsauditor für Web3

Validieren Sie Design, Code und Geschäftslogik vor dem Start

Prüfberichte lesenAudit anfordern

Referenz

[1] ER HAT 200 MILLIONEN DOLLAR GESTOHLEN. ER HAT SIE ZURÜCKGEGEBEN. JETZT ERKLÄRT ER, WARUM

Sign up for the latest updates
The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.