Euler Finance的捐赠和清算中存在逻辑缺陷导致被攻击

金色财经报道，交易浏览器Phalcon在社交媒体X（原推特）上称，TrustPad协议被攻击是由于质押逻辑中的几个设计缺陷，即通过不受信任的外部调用操纵锁定期来获取待定奖励。LaunchpadLockableStake合约的receiveUpPool函数中，如果账户未锁定，则会设置depositLockStart时间。然后攻击者操纵它立即存款（通过 receiveUpPool 函数）并提款以积累待处理的奖励。此外，另一个函数stakePendingRewards允许攻击者将累积的待奖励转换为质押金额，从而允许攻击者在以后的交易中以TPAD代币的形式提取质押奖励并出售代币以获取利润。

金色财经报道，根据MetaTrust Alert发贴表示，Ethereum上的合约 ENF_ETHLEV 遭到攻击，漏洞的根据原因是“EFVault”合约的“提款”函数中存在逻辑问题，该函数允许用户在ENF_ETHLEV余额少于预期份额时烧毁用户的ENF_ETHLEV余额。 此前报道，部署在Ethereum上的合约 ENF_ETHLEV 遭到攻击。截止至现在，遭受攻击损失金额已达约 288 ETH，价值约536,000美元。所有代币已被入新的钱包 (0xee4b3d)。

6月27日消息，固定利率借贷协议 Yield Protocol 宣布已从 Euler Finance 遭攻击影响中完全恢复。3 月中旬，Euler Finance 遭到黑客攻击，损失金额近 2 亿美元，之后攻击者归还全部盗取资金。由于 Yield 的流动性提供者系统中的一些资金存放在 Euler 中，因此也受到了影响。

金色财经报道，DeFi协议Linear Finance发布博客文章称，2023年9月21日，Linear Finance协议遭受攻击，导致 PancakeSwap 和 Ascendex 上的所有ℓUSD流动性耗尽，导致ℓUSD的价格跌至零。 攻击者能够无限量地铸造ℓAAVE，并随后在Linear 交易所将流动资产交易为ℓUSD，然后在PancakeSwap和Ascendex上出售。 Linear 团队已采取下措施来保护协议、资产和用户：所有允许铸造、销毁或交换代币的协议合约均已暂停；ℓUSD 的Linear桥合约已被禁用；聘请行业领先的团队来追踪攻击者并将他们绳之以法；已知参与该攻击的钱包已与所有主要交易所和当局共享。

11月11日消息，据慢雾安全团队情报，2022 年 11 月 11 日，ETH 链上的 DFX Finance 项目遭到攻击，攻击者获利约 231,138 美元。慢雾安全团队以简讯形式分享如下： 1. 攻击者首先调用了名为 Curve 的合约中的 viewDeposit 函数来查看合约中的存款情况，之后根据返回的存款情况来构造合适的闪电贷需要借出的钱 2. 紧接着继续 Curve 合约的 flash 函数进行闪电贷，因为该函数未做重入锁保护，导致攻击者利用闪电贷中的 flashCallback 函数回调了合约的 deposit 函数进行存款 3. 存款函数外部调用了 ProportionalLiquidity 合约的 proportionalDeposit 函数，在该函数中会将第二步中借来的资金转移回 Curve 合约里，并且为攻击合约进行存款的记账，并且为攻击合约铸造存款凭证 4. 由于利用重入了存款函数来将资金转移回 Curve 合约中，使得成功通过了闪电贷还款的余额检查 5. 最后调用 withdraw 函数进行取款，取款时会根据第三步存款时对攻击合约记账燃烧掉存款凭证，并以此成功取出约 2,283,092,402 枚的 XIDR 代币和 99,866 枚 USDC 代币获利 此次攻击的主要原因在于 Curve 合约闪电贷函数并未做重入保护，导致攻击重入了存款函数进行转账代币来通过闪电贷还款的余额判断，由于存款时有记账所以攻击者可以成功提款获利。

3月13日消息，独立分析师CIA Officer在推特上表示，据安全团队BlockSec监测，DeFi借贷协议Euler Finance疑似遭到攻击，目前已有889万枚DAI和8080枚WETH被盗。 2022年6月消息，基于以太坊的DeFi借贷协议Euler Finance宣布完成3200万美元融资，Haun Ventures领投，Variant、FTX Ventures和Jump Crypto等参投。