推荐平台 链接 平台介绍
币安网 注册链接 币安是全球领先的区块链生态系统,推出了一系列产品,其中包括最大的加密货币交易平台。我们的使命是在未来成为全球性加密货币基础架构供应商。
欧易OKX 注册链接 欧易是全球著名的数字资产交易平台之一,主要面向全球用户提供比特币、莱特币、以太币等数字资产的币币和衍生品交易服务。
HTX火币 注册链接 火币全球专业站,是火币集团旗下服务于全球专业交易用户的创新数字资产国际站,致力于发现优质的创新数字资产投资机会。

简介

在 2023 年 7 月 25 日,zkSync Era-based 借贷协议 EraLend 宣布发生了一起安全事件。在初步调查后,CertiK 发现 EraLend 遭到了只读可重入攻击,导致总损失约 270 万美元。

事件概要

EraLend 在 zkSync 主网上遭受了只读可重入攻击。该攻击由地址 0xf1D 07 执行,攻击者利用了闪电贷去操控 EraLend 价格预言机。EraLend 使用 Syncswap 交易对作为价格预言机,其中存在只读可重入漏洞。攻击者能够销毁代币,并在_updateReserves 被调用之前进行回调,导致预言机基于未更新的储备计算价格。

CertiK:zkSync借贷协议EraLend被攻击事件分析

受到攻击的代码,来源 Syncswap Github

EraLend 团队发布了一份声明,称“攻击已经得到控制,攻击者不能再能够继续他们的行动。目前正在评估影响的范围,之后将进一步公布。”建议用户目前不要向 EraLend 存入 USDC。

资产追踪

CertiK 追踪到被盗资金被转移到多个由攻击者控制的 EOA(Externally Owned Address)地址上,涉及以太坊、Arbitrum 和 Optimism 网络。其中大部分资金被整合到以太坊网络的四个钱包中。

CertiK:zkSync借贷协议EraLend被攻击事件分析

含有被盗资金的钱包

有关重入攻击

2020 年数据:

总损失金额:$ 62, 936, 849.00 

总重入攻击次数: 6 

平均每次攻击损失金额(USD++++++++):$ 10, 489, 474.83 

2021 年数据:

总损失金额:$ 67, 924, 596.28 

总重入攻击次数: 7 

平均每次攻击损失金额(USD):$ 9, 703, 513.75 

2022 年数据:

总损失金额:$ 18, 403, 869.53 

总重入攻击次数: 8 

平均每次攻击损失金额(USD):$ 2, 300, 483.69 

2023 年数据:

总损失金额:$ 14, 121, 542.00 

总重入攻击次数: 7 

平均每次攻击损失金额(USD):$ 2, 017, 363.14 

闪电贷攻击:日益增长的威胁

在 2023 年,加密货币和区块链领域的闪电贷攻击日益令人担忧。与 2022 年的 101 起攻击相比,今年已经发生了 128 起事件。这些攻击利用智能合约的漏洞来最大化利润。

闪电贷允许用户在无抵押品的情况下借取大额资金,但必须在同一笔交易内还清贷款。攻击者滥用了这一特性,导致迄今为止总计 2.55 亿美元的损失,平均每起事件损失约为 200 万美元。

在 7 月的头三周内,已经发生了 22 起攻击,导致损失 850 万美元,而 2023 年每月平均闪电贷攻击为 18 起。7 月和 2023 年 2 月各自创下了每月 22 起攻击的记录。这凸显了理解 DeFi 风险和在加密货币领域构建更安全的智能合约的重要性。警惕和预防是在这个波动的领域中安全航行的必要条件。

CertiK:zkSync借贷协议EraLend被攻击事件分析

2023 年闪电贷攻击损失金额(按月度)

CertiK:zkSync借贷协议EraLend被攻击事件分析

2023 年闪电贷攻击损失数量(按月度)

总结

EraLend 是 CertiK 在 7 月发生的第二大可重入攻击事件,本月由于闪电贷攻击共损失 640 万美元。

到目前为止, 7 月份已经发生了 3 次可重入攻击。7 月份可重入攻击的总损失为 640 万美元,平均每次攻击损失 210 万美元。截至 2023 年,已经发生了 7 次可重入攻击,总损失约为 1410 万美元,平均每次攻击损失 200 万美元。值得注意的是,今年的数据至今仅统计到 7 月份,截至目前 8 月至 12 月尚未报告有关的攻击或损失。到目前为止, 2023 年的总损失可能超过 2022 年的总损失,甚至可能达到 2021 年的水平,因为还有 5 个月的时间。

了解可重入攻击对于涉足区块链和 DeFi 领域的任何人来说都至关重要,以加强安全实践并防止财务损失。2023 年闪电贷攻击的数量证明了对强大的安全措施和第三方审计的需求。请查看CertiK Skynet - Web 3 安全,尽职调查和洞察,帮助您了解您希望参与的项目背后的安全风险。

推荐平台 链接 平台介绍
Gate芝麻开门 平台介绍 Gate.io芝麻开门创立于2013年,是全球真实交易量TOP10的加密货币交易平台,向全球数千万用户提供安全可靠、真实透明的数字资产交易服务。
Bitget 注册链接 Bitget的背后是一群区块链技术的早期接受者,也是区块链未来发展的信仰者,一直致力于提供安全、一站式的交易解决方案,帮助用户更聪明地交易。
Bybit 注册链接 Bybit通过数字资产与传统金融的结合,引领数字资产的生态发展。提供一流的流动性,致力于打造业内最安全、公平、高效及人性化的交易服务平台。
派网 注册链接 派网提供多样化的量化交易机器人,用户可依照自身交易需求和策略选择最适合的机器人。 同时派网也提供合约交易与合约网格机器人,给予更方便的合约交易体验。