zkSync Era上的“滑铁卢”事件?简析EraLend闪电贷攻击’ 精炼后的句子为: “zkSync Era的“滑铁卢”事件分析:探讨EraLend闪电贷攻击”

"zkSync Era的“滑铁卢”事件分析:探讨EraLend闪电贷攻击"

EraLend 发生安全事件,遭受只读可重入攻击

在2023年7月25日,zkSync Era-based借贷协议EraLend宣布发生了一起安全事件。经过初步调查,CertiK发现EraLend遭到了只读可重入攻击,导致总损失约270万美元。

事件概要

EraLend在ZkSync主网上遭受了只读可重入攻击。这次攻击由地址0xf1D07执行,攻击者利用闪电贷去操控EraLend价格预言机。EraLend使用Syncswap交易对作为价格预言机,但存在只读可重入漏洞。攻击者能够销毁代币,并在_updateReserves被调用之前进行回调,导致预言机基于未更新的储备计算价格。

EraLend被攻击情况

EraLend团队发布了一份声明,称”攻击已经得到控制,攻击者不能再继续他们的行动。目前正在评估影响的范围,之后将进一步公布。“建议用户目前不要向EraLend存入USDC。

资产追踪

CertiK追踪到被盗资金被转移到多个由攻击者控制的EOA(Externally Owned Address)地址上,涉及以太坊、Arbitrum和Optimism网络。其中大部分资金被整合到以太坊网络的四个钱包中。

被盗资金转移到的EOA地址情况

重入攻击的背景

重入攻击是指攻击者在智能合约中多次调用消息调用,从而多次执行某些功能。在以太坊中,攻击者通过在回调过程中再次触发合约调用来达到重入攻击的目的。攻击者以此来执行额外的操作并从中获取经济利益。以下是近几年重入攻击的数据情况:

时间 总损失金额(美元) 总重入攻击次数 平均每次攻击损失金额(美元)
2020年 62,936,849.00 6 10,489,474.83
2021年 67,924,596.28 7 9,703,513.75
2022年 18,403,869.53 8 2,300,483.69
2023年 14,121,542.00 7 2,017,363.14

闪电贷攻击:日益增长的威胁

2023年,加密货币和区块链领域的闪电贷攻击日益令人担忧。与2022年的101起攻击相比,今年已经发生了128起事件。这些攻击利用智能合约的漏洞来最大化利润。

闪电贷允许用户在无抵押品的情况下借取大额资金,但必须在同一笔交易内还清贷款。攻击者滥用了这一特性,导致迄今为止总计2.55亿美元的损失,平均每起事件损失约为200万美元。

在7月的头三周内,已经发生了22起攻击,导致损失850万美元,而2023年每月平均闪电贷攻击为18起。7月和2023年2月各自创下了每月22起攻击的记录。这凸显了理解DeFi风险和在加密货币领域构建更安全的智能合约的重要性。警惕和预防是在这个波动的领域中安全航行的必要条件。

闪电贷攻击的发展趋势

以下是2023年闪电贷攻击的损失金额及数量统计:

2023 年闪电贷攻击损失金额(按月度)
闪电贷攻击损失金额按月统计
2023 年闪电贷攻击损失数量(按月度)
闪电贷攻击损失数量按月统计

总结

EraLend是7月发生的第二大可重入攻击事件,本月共损失640万美元。到目前为止,7月份已经发生了3次可重入攻击。7月份可重入攻击的总损失为640万美元,平均每次攻击损失210万美元。截至2023年,已经发生了7次可重入攻击,总损失约为1410万美元,平均每次攻击损失200万美元。需要注意的是,今年的数据仅统计到7月份,截至目前8月至12月尚未报告有关的攻击或损失。根据目前的趋势,2023年的总损失可能超过2022年的总损失,甚至可能达到2021年的水平,因为截止到年底还有5个月的时间来产生新的攻击。