在2023 年7 月25 日,zkSync Era-based 借貸協議EraLend 宣布發生了一起安全事件。在初步調查後,CertiK 發現EraLend 遭到了只讀可重入攻擊,導致總損失約270 萬美元。
事件概要
EraLend 在ZkSync 主網上遭受了只讀可重入攻擊。該攻擊由地址0xf1D07 執行,攻擊者利用了閃電貸去操控EraLend 價格預言機。EraLend 使用Syncswap 交易對作為價格預言機,其中存在只讀可重入漏洞。攻擊者能夠銷毀代幣,並在_updateReserves 被調用之前進行回調,導致預言機基於未更新的儲備計算價格。
EraLend 團隊發布了一份聲明,稱「攻擊已經得到控制,攻擊者不能再能夠繼續他們的行動。目前正在評估影響的範圍,之後將進一步公佈。」建議用戶目前不要向EraLend 存入USDC。
資產追踪
CertiK 追踪到被盜資金被轉移到多個由攻擊者控制的EOA(Externally Owned Address)地址上,涉及以太坊、Arbitrum 和Optimism 網絡。其中大部分資金被整合到以太坊網絡的四個錢包中。
有關重入攻擊
2020 年數據:
- 總損失金額:$62,936,849.00
- 總重入攻擊次數:6
- 平均每次攻擊損失金額(USD):$10,489,474.83
2021 年數據:
- 總損失金額:$67,924,596.28
- 總重入攻擊次數:7
- 平均每次攻擊損失金額(USD):$9,703,513.75
2022 年數據:
- 總損失金額:$18,403,869.53
- 總重入攻擊次數:8
- 平均每次攻擊損失金額(USD):$2,300,483.69
2023 年數據:
- 總損失金額:$14,121,542.00
- 總重入攻擊次數:7
- 平均每次攻擊損失金額(USD):$2,017,363.14
閃電貸攻擊:日益增長的威脅
在2023 年,加密貨幣和區塊鏈領域的閃電貸攻擊日益令人擔憂。與2022 年的101 起攻擊相比,今年已經發生了128 起事件。這些攻擊利用智能合約的漏洞來最大化利潤。
閃電貸允許用戶在無抵押品的情況下借取大額資金,但必須在同一筆交易內還清貸款。攻擊者濫用了這一特性,導致迄今為止總計2.55 億美元的損失,平均每起事件損失約為200 萬美元。
在7 月的頭三週內,已經發生了22 起攻擊,導致損失850 萬美元,而2023 年每月平均閃電貸攻擊為18 起。7 月和2023 年2 月各自創下了每月22 起攻擊的記錄。這凸顯了理解DeFi 風險和在加密貨幣領域構建更安全的智能合約的重要性。警惕和預防是在這個波動的領域中安全航行的必要條件。
2023 年閃電貸攻擊損失金額(按月度)
2023 年閃電貸攻擊損失數量(按月度)
總結
EraLend 是7 月發生的第二大可重入攻擊事件,本月由於閃電貸攻擊共損失640 萬美元。
到目前為止,7 月份已經發生了3 次可重入攻擊。7 月份可重入攻擊的總損失為640 萬美元,平均每次攻擊損失210 萬美元。截至2023 年,已經發生了7 次可重入攻擊,總損失約為1410 萬美元,平均每次攻擊損失200 萬美元。值得注意的是,今年的數據至今僅統計到7 月份,截至目前8 月至12 月尚未報告有關的攻擊或損失。到目前為止,2023 年的總損失可能超過2022 年的總損失,甚至可能達到2021 年的水平,因為截止到年底還有5 個月的時間。
