駭侵者攻擊 Euler Finance 借貸協定，竊走 1.97 億美元加密貨幣 @ 台灣電腦網路危機處理暨協調中心-TWCERT/CC

由位於英國的 Eular Labs 推出的加密貨幣借貸協定 Euler Finance 於日前遭到駭侵者發動攻擊，多種加密貨幣資產遭竊，總額高達 1.97 億美元。

駭侵事件發生於本（2023）年 3 月 12 日，不明身分的駭侵者，利用該協定閃電貸款 (flash loan) 的漏洞，成功竊取多種加密貨幣資產，包括價值 875 萬美元的 DAI、1850 萬美元的 WBTC、3385 萬美元的 USDC，以及 1.358 億美元的 stETH。

閃電貸是一種去中心化加密貨幣交易所提供的服務，可讓使用者在無擔保，無抵押的情形下快速借出加密資產進行操作；借貸者須在交易資料寫入區塊前的極短時間 (多半在數秒內) 內償還貸款，否則將會取消使用者的貸款。通常用於快速借款投資套利。

這次 Euler Finance 遭到攻擊的部分，就是其閃電貸智慧合約的安全漏洞，在借出資金後竄改借貸額度，在數秒後還款金額遠低於借貸出來的資產金額，藉以獲得極大的不法所得。

資安專家指出，這次攻擊所使用的漏洞，發生在 Euler Finance 在資金驗證機制上未能完整驗證的漏洞。駭侵者同時扮演借貸者與平倉者兩種角色，透過相互操弄，以閃電貸借出 3000 萬美元的 DAI，在利用該漏洞後，獲得高達 880 萬美元的不法獲利。

雖然駭侵者使用的以太幣數位錢包已遭到追蹤，理論上可以掌握所有金流，但也有專家指出駭侵者早已先一步使用遭到多國禁用加密貨幣混合服務 Tonardo Cash 來進行洗錢因此仍然難以追蹤。

建議加密貨幣交易協定應更加嚴格審視智慧合約的安全性，並交由專業區塊鏈資安公司進行稽核，以儘量減少這類漏洞的存在。