CertiK：zkSync借貸協議EraLend被攻擊事件分析

2023-07-27 16:07:19

簡介

在 2023 年 7 月 25 日，zkSync Era-based 借貸協議 EraLend 宣布發生了一起安全事件。在初步調查後， CertiK 發現 EraLend 遭到了只讀可重入攻擊，導致總損失約 270 萬美元。

事件概要

EraLend 在 zkSync 主網上遭受了只讀可重入攻擊。該攻擊由地址 0xf1 D 07 執行，攻擊者利用了閃電貸去操控 EraLend 價格預言機。EraLend 使用 Syncswap 交易對作為價格預言機，其中存在只讀可重入漏洞。攻擊者能夠銷毀代幣，並在_updateReserves 被調用之前進行回調，導致預言機基於未更新的儲備計算價格。

受到攻擊的代碼，來源 Syncswap Github

EraLend 團隊發布了一份聲明，稱“攻擊已經得到控制，攻擊者不能再能夠繼續他們的行動。目前正在評估影響的範圍，之後將進一步公布。”建議用戶目前不要向 EraLend 存入 USDC。

資產追蹤

CertiK 追蹤到被盜資金被轉移到多個由攻擊者控制的 EOA（Externally Owned Address）地址上，涉及以太坊、 Arbitrum 和 Optimism 網絡。其中大部分資金被整合到以太坊網絡的四個錢包中。

含有被盜資金的錢包

有關重入攻擊

2020 年數據：

總損失金額：$ 62, 936, 849.00

總重入攻擊次數： 6

平均每次攻擊損失金額( USD+ +++++++)：$ 10, 489, 474.83

2021 年數據：

總損失金額：$ 67, 924, 596.28

總重入攻擊次數： 7

平均每次攻擊損失金額(USD)：$ 9, 703, 513.75

2022 年數據：

總損失金額：$ 18, 403, 869.53

總重入攻擊次數： 8

平均每次攻擊損失金額(USD)：$ 2, 300, 483.69

2023 年數據：

總損失金額：$ 14, 121, 542.00

總重入攻擊次數： 7

平均每次攻擊損失金額(USD)：$ 2, 017, 363.14

閃電貸攻擊：日益增長的威脅

在 2023 年，加密貨幣和區塊鏈領域的閃電貸攻擊日益令人擔憂。與 2022 年的 101 起攻擊相比，今年已經發生了 128 起事件。這些攻擊利用智能合約的漏洞來最大化利潤。

閃電貸允許用戶在無抵押品的情況下借取大額資金，但必須在同一筆交易內還清貸款。攻擊者濫用了這一特性，導致迄今為止總計 2.55 億美元的損失，平均每起事件損失約為 200 萬美元。

在 7 月的頭三周內，已經發生了 22 起攻擊，導致損失 850 萬美元，而 2023 年每月平均閃電貸攻擊為 18 起。7 月和 2023 年 2 月各自創下了每月 22 起攻擊的記錄。這凸顯了理解 DeFi 風險和在加密貨幣領域構建更安全的智能合約的重要性。警惕和預防是在這個波動的領域中安全航行的必要條件。

2023 年閃電貸攻擊損失金額（按月度）

2023 年閃電貸攻擊損失數量（按月度）

總結

EraLend 是 CertiK 在 7 月發生的第二大可重入攻擊事件，本月由於閃電貸攻擊共損失 640 萬美元。

到目前為止， 7 月份已經發生了 3 次可重入攻擊。7 月份可重入攻擊的總損失為 640 萬美元，平均每次攻擊損失 210 萬美元。截至 2023 年，已經發生了 7 次可重入攻擊，總損失約為 1410 萬美元，平均每次攻擊損失 200 萬美元。值得注意的是，今年的數據至今僅統計到 7 月份，截至目前 8 月至 12 月尚未報告有關的攻擊或損失。到目前為止， 2023 年的總損失可能超過 2022 年的總損失，甚至可能達到 2021 年的水平，因為還有 5 個月的時間。

了解可重入攻擊對於涉足區塊鏈和 DeFi 領域的任何人來說都至關重要，以加強安全實踐並防止財務損失。2023 年閃電貸攻擊的數量證明了對強大的安全措施和第三方審計的需求。請查看 CertiK Skynet - Web 3 安全，盡職調查和洞察，幫助您了解您希望參與的項目背後的安全風險。