在 2023 年 7 月 25 日,zkSync Era-based 借貸協議 EraLend 宣布發生了一起安全事件。在初步調查後,CertiK 發現 EraLend 遭到了隻讀可重入攻擊,導致總損失約 270 萬美元。
事件概要
EraLend 在 ZkSync 主網上遭受了隻讀可重入攻擊。該攻擊由地址 0xf1D07 執行,攻擊者利用了閃電貸去操控 EraLend 價格預言機。EraLend 使用 Syncswap 交易對作為價格預言機,其中存在隻讀可重入漏洞。攻擊者能夠銷毀代幣,並在_updateReserves 被調用之前進行回調,導致預言機基於未更新的儲備計算價格。
EraLend 團隊發布了一份聲明,稱「攻擊已經得到控製,攻擊者不能再能夠繼續他們的行動。目前正在評估影響的範圍,之後將進一步公布。」建議用戶目前不要向 EraLend 存入 USDC。
資產追蹤
CertiK 追蹤到被盜資金被轉移到多個由攻擊者控製的 EOA(Externally Owned Address)地址上,涉及以太坊、Arbitrum 和 Optimism 網絡。其中大部分資金被整合到以太坊網絡的四個錢包中。
有關重入攻擊
2020 年數據:
- 總損失金額:$62,936,849.00
- 總重入攻擊次數:6
- 平均每次攻擊損失金額 (USD):$10,489,474.83
2021 年數據:
- 總損失金額:$67,924,596.28
- 總重入攻擊次數:7
- 平均每次攻擊損失金額 (USD):$9,703,513.75
2022 年數據:
- 總損失金額:$18,403,869.53
- 總重入攻擊次數:8
- 平均每次攻擊損失金額 (USD):$2,300,483.69
2023 年數據:
- 總損失金額:$14,121,542.00
- 總重入攻擊次數:7
- 平均每次攻擊損失金額 (USD):$2,017,363.14
閃電貸攻擊:日益增長的威脅
在 2023 年,加密貨幣和區塊鏈領域的閃電貸攻擊日益令人擔憂。與 2022 年的 101 起攻擊相比,今年已經發生了 128 起事件。這些攻擊利用智能合約的漏洞來最大化利潤。
閃電貸允許用戶在無抵押品的情況下借取大額資金,但必須在同一筆交易內還清貸款。攻擊者濫用了這一特性,導致迄今為止總計 2.55 億美元的損失,平均每起事件損失約為 200 萬美元。
在 7 月的頭三周內,已經發生了 22 起攻擊,導致損失 850 萬美元,而 2023 年每月平均閃電貸攻擊為 18 起。7 月和 2023 年 2 月各自創下了每月 22 起攻擊的記錄。這凸顯了理解 DeFi 風險和在加密貨幣領域構建更安全的智能合約的重要性。警惕和預防是在這個波動的領域中安全航行的必要條件。
2023 年閃電貸攻擊損失金額(按月度)
2023 年閃電貸攻擊損失數量(按月度)
總結
EraLend 是 7 月發生的第二大可重入攻擊事件,本月由於閃電貸攻擊共損失 640 萬美元。
到目前為止,7 月份已經發生了 3 次可重入攻擊。7 月份可重入攻擊的總損失為 640 萬美元,平均每次攻擊損失 210 萬美元。截至 2023 年,已經發生了 7 次可重入攻擊,總損失約為 1410 萬美元,平均每次攻擊損失 200 萬美元。值得注意的是,今年的數據至今僅統計到 7 月份,截至目前 8 月至 12 月尚未報告有關的攻擊或損失。到目前為止,2023 年的總損失可能超過 2022 年的總損失,甚至可能達到 2021 年的水平,因為截止到年底還有 5 個月的時間。