在2023 年7 月25 日,zkSync Era-based 借貸協議EraLend 宣布發生了一起安全事件。在初步調查後,CertiK 發現EraLend 遭到了只讀可重入攻擊,導致總損失約270 萬美元。
事件概要
EraLend 在ZkSync 主網上遭受了只讀可重入攻擊。該攻擊由地址0xf1D07 執行,攻擊者利用了閃電貸去操控EraLend 價格預言機。 EraLend 使用Syncswap 交易對作為價格預言機,其中存在只讀可重入漏洞。攻擊者能夠銷毀代幣,並在_updateReserves 被調用之前進行回調,導致預言機基於未更新的儲備計算價格。
EraLend 團隊發布了一份聲明,稱「攻擊已經得到控制,攻擊者不能再能夠繼續他們的行動。目前正在評估影響的範圍,之後將進一步公佈。」建議用戶目前不要向EraLend 存入USDC。
資產追踪
CertiK 追踪到被盜資金被轉移到多個由攻擊者控制的EOA(Externally Owned Address)地址上,涉及以太坊、Arbitrum 和Optimism 網絡。其中大部分資金被整合到以太坊網絡的四個錢包中。
有關重入攻擊
2020 年數據:
- 總損失金額:$62,936,849.00
- 總重入攻擊次數:6
- 平均每次攻擊損失金額(USD):$10,489,474.83
2021 年數據:
- 總損失金額:$67,924,596.28
- 總重入攻擊次數:7
- 平均每次攻擊損失金額(USD):$9,703,513.75
2022 年數據:
- 總損失金額:$18,403,869.53
- 總重入攻擊次數:8
- 平均每次攻擊損失金額(USD):$2,300,483.69
2023 年數據:
- 總損失金額:$14,121,542.00
- 總重入攻擊次數:7
- 平均每次攻擊損失金額(USD):$2,017,363.14
閃電貸攻擊:日益增長的威脅
在2023 年,加密貨幣和區塊鏈領域的閃電貸攻擊日益令人擔憂。與2022 年的101 起攻擊相比,今年已經發生了128 起事件。這些攻擊利用智能合約的漏洞來最大化利潤。
閃電貸允許用戶在無抵押品的情況下借取大額資金,但必須在同一筆交易內還清貸款。攻擊者濫用了這一特性,導致迄今為止總計2.55 億美元的損失,平均每起事件損失約為200 萬美元。
在7 月的頭三週內,已經發生了22 起攻擊,導致損失850 萬美元,而2023 年每月平均閃電貸攻擊為18 起。 7 月和2023 年2 月各自創下了每月22 起攻擊的記錄。這凸顯了理解DeFi 風險和在加密貨幣領域構建更安全的智能合約的重要性。警惕和預防是在這個波動的領域中安全航行的必要條件。
2023 年閃電貸攻擊損失金額(按月度)
2023 年閃電貸攻擊損失數量(按月度)
總結
EraLend 是7 月發生的第二大可重入攻擊事件,本月由於閃電貸攻擊共損失640 萬美元。
到目前為止,7 月份已經發生了3 次可重入攻擊。 7 月份可重入攻擊的總損失為640 萬美元,平均每次攻擊損失210 萬美元。截至2023 年,已經發生了7 次可重入攻擊,總損失約為1410 萬美元,平均每次攻擊損失200 萬美元。值得注意的是,今年的數據至今僅統計到7 月份,截至目前8 月至12 月尚未報告有關的攻擊或損失。到目前為止,2023 年的總損失可能超過2022 年的總損失,甚至可能達到2021 年的水平,因為截止到年底還有5 個月的時間。
