EraLend 攻击事件分析’ 的结果如下:

'EraLend攻击分析结果如下:'

EraLend借贷协议遭遇安全事件:只读可重入攻击导致约270万美元损失

EraLend Security Incident

在2023年7月25日,zkSync Era-based借贷协议EraLend宣布发生了一起安全事件。这次事件的初步调查结果表明,EraLend遭到了只读可重入攻击,导致约270万美元的损失。攻击者利用了闪电贷操作EraLend价格预言机,从而实施了这次攻击。

事件概要

EraLend是在ZkSync主网上遭受只读可重入攻击的。攻击者的钱包地址为0xf1D07,在攻击中他们利用了一个漏洞来操控EraLend的价格预言机。EraLend使用Syncswap交易对作为价格预言机,而该交易对存在只读可重入漏洞。攻击者能够销毁代币,并在更新储备之前进行回调,导致价格预言机基于未更新的储备进行计算。

EraLend Attack

EraLend的团队发布了一份声明,表示“攻击已经得到控制,攻击者不能再继续他们的行动。目前正在评估受影响范围,并将在之后进一步公布相关信息。” 建议用户暂时不要向EraLend存入USDC。

资产追踪

CertiK追踪到被盗资金被转移到多个由攻击者控制的EOA(Externally Owned Address)地址上,涉及以太坊、Arbitrum和Optimism网络。大部分被盗资金被整合到了以太坊网络的四个钱包中。

Stolen Funds Tracing

有关重入攻击

近年来,重入攻击在加密货币和区块链领域中越来越受到关注。下面是近几年重入攻击的一些数据:

年份 总损失金额(美元) 总重入攻击次数 平均每次攻击损失金额(美元)
2020 62,936,849.00 6 10,489,474.83
2021 67,924,596.28 7 9,703,513.75
2022 18,403,869.53 8 2,300,483.69
2023 14,121,542.00 7 2,017,363.14

从上表可以看出,每年的重入攻击都造成了巨大的损失。而今年,闪电贷攻击不断增加,给加密货币和区块链领域带来了日益严重的威胁。与2022年相比,2023年已经发生了更多的闪电贷攻击事件,共计128起。这些攻击利用智能合约的漏洞来最大化利润。

闪电贷允许用户在无需抵押品的情况下借取大额资金,但必须在同一笔交易内还清贷款。攻击者利用这一特性来滥用系统,并导致迄今为止总计2.55亿美元的损失,平均每起事件损失约为200万美元。

仅在7月头三周内,就发生了22起闪电贷攻击,导致了850万美元的损失。而2023年的闪电贷攻击平均每月发生18起,其中7月和2月创下了每月22起攻击的记录。这显示了在加密货币领域建立更安全智能合约以及了解DeFi风险的重要性。在这个波动的领域中,警惕和预防是安全航行的必要条件。

Monthly Losses from Flash Loan Attacks in 2023

2023年闪电贷攻击损失金额(按月度)

Number of Flash Loan Attacks in 2023

2023年闪电贷攻击损失数量(按月度)

总结

EraLend是CertiK在7月发生的第二大可重入攻击事件,共导致损失640万美元。到目前为止,7月份共发生了3起可重入攻击,总损失达到640万美元,平均每起攻击损失210万美元。截至2023年,已经发生了7次可重入攻击,总损失约为1410万美元,平均每次攻击损失200万美元。值得注意的是,这些数据仅统计到7月份,8月至12月期间尚未报告相关的攻击和损失。因此,2023年的总损失可能会超过2022年,并可能达到或超过2021年的水平,因为还有5个月的时间。

通过这次事件,我们不仅可以看到EraLend和其他借贷协议所面临的安全风险,同时也提醒了我们在构建更安全的智能合约和避免闪电贷攻击方面的重要性。只有时刻保持警惕并采取预防措施,我们才能在这个快速变化的领域中保持安全。