El 13 de marzo de 2023, Euler Finance, un protocolo de préstamos de finanzas descentralizadas (DeFi) en Ethereum, sufrió un ataque de préstamo flash que resultó en pérdidas de aproximadamente $200 millones. La causa raíz fue identificada como la ausencia de una verificación de liquidez en la función donateToReserves(). Como empresa de seguridad blockchain, BlockSec monitorea continuamente este tipo de exploits para mejorar la seguridad DeFi y proteger los activos digitales.
| Fecha | Tipo de ataque | Cadena | Pérdida | Recuperado |
|---|---|---|---|---|
| 2023-03-13 | Falla en la lógica de negocio | ETH | ~$200M | Sí |
Euler Finance se encontraba entre los 30 principales protocolos DeFi en DefiLlama antes del ataque. Su valor total bloqueado (TVL) cayó drásticamente de $264 millones a $10 millones, una disminución del 96%.
Conceptos clave
Comprender los mecanismos de auto-préstamo y liquidación suave de Euler Finance es esencial para entender el exploit:
- Auto-préstamo: Permite a los usuarios acuñar nuevos activos e incrementar la deuda utilizando eTokens recién acuñados como colateral, lo que efectivamente permite el apalancamiento.
- Liquidación suave: Permite a los liquidadores reembolsar la deuda de forma flexible para la parte liquidada, en lugar de utilizar un coeficiente de liquidación fijo.
Estos mecanismos, aunque innovadores, introdujeron vulnerabilidades explotables que el atacante aprovechó.
Análisis del ataque
El atacante ejecutó el exploit mediante los siguientes pasos:
- Obtuvo un préstamo flash de 30M de DAI desde AAVE.
- Depositó 20M de DAI en Euler Finance y recibió 20M de eDAI.
- Aprovechó la capacidad de préstamo de Euler para acuñar 195M de eDAI y 200M de dDAI.
- Reembolsó 10M de deuda para acuñar más eDAI, acumulando 215M de eDAI y 190M de dDAI.
- Repitió el paso 4, aumentando las tenencias a 410M de eDAI y 390M de dDAI.
- Invocó la función
donateToReserves()para donar 100M de eDAI.
function donateToReserves(uint256 amount) external {
// Missing liquidity check allows exploit
// Function logic here
}Durante este proceso, el factor de salud del atacante no fue verificado, lo que permitió la liquidación de su propia posición para obtener ganancias. El atacante se liquidó a sí mismo, extrayendo 38M de eDAI, y reembolsó el préstamo flash.
El exploit fue un ataque de préstamo flash que explotó una vulnerabilidad en la lógica de negocio del contrato inteligente.
Resumen
El problema central fue la ausencia de una verificación de liquidez en la función donateToReserves() combinada con un mecanismo de descuento de liquidación dinámico. Esto creó una oportunidad de arbitraje, lo que permitió al atacante explotar una gran cantidad de criptoactivos sin el colateral adecuado ni el reembolso de la deuda.
Pasos posteriores
Notablemente, aproximadamente $135 millones de los fondos robados —principalmente Ether en staking (stETH), Bitcoin y stablecoins como DAI y USDC— fueron completamente recuperados. El atacante era un joven argentino de 19 años llamado Federico Jaime, quien devolvió todos los activos robados tres semanas después por razones morales.[1]
BlockSec ha estado monitoreando activamente el incidente. Nuestras cuentas oficiales de Twitter @BlockSecTeam y @MetaSleuth proporcionaron actualizaciones continuas. El 18 de marzo de 2023, el atacante devolvió 3,000 Ether, seguidos de 51,000 Ether una semana después, con los fondos restantes devueltos en los días siguientes.
Durante el proceso de reembolso, surgieron estafas de phishing que aprovecharon el incidente. Los estafadores crearon un sitio de phishing, eulerrefunds.cxx, engañando a algunos usuarios.
MetaSleuth, la herramienta de análisis de flujo de fondos entre cadenas de alto rendimiento de BlockSec, permitió el seguimiento en tiempo casi real de los activos digitales afectados durante las fases del ataque y del reembolso.
Más sobre seguridad blockchain
Este caso es uno de los muchos que ilustran la necesidad crítica de una seguridad blockchain sólida. BlockSec ofrece servicios de seguridad integrales para proyectos blockchain, que incluyen:
- Auditorías de contratos inteligentes durante el desarrollo para identificar vulnerabilidades.
- Phalcon Security, una plataforma SaaS que proporciona alertas de incidentes y bloqueo automático para prevenir hackeos de criptomonedas.
- MetaSleuth, para mayor trazabilidad y transparencia de los activos digitales.
- Auditorías de infraestructura para asegurar el entorno blockchain subyacente.
El mejor auditor de seguridad para Web3
Valida el diseño, el código y la lógica de negocio antes del lanzamiento
Referencia
[1] ROBÓ $200 MILLONES. LOS DEVOLVIÓ. AHORA ESTÁ LISTO PARA EXPLICAR POR QUÉ
