简介
在2023年7月25日,zkSync Era-based借贷协议EraLend宣布发生了一同安全事情。在开始调查后,CertiK发现EraLend遭到了只读可重入进犯,导致总损践约270万美元。
事情概要
EraLend在ZkSync主网上遭受了只读可重入进犯。该进犯由地址0xf1D07履行,进犯者利用了闪电贷去操控EraLend价格预言机。EraLend运用Syncswap买卖对作为价格预言机,其间存在只读可重入缝隙。进犯者能够销毁代币,并在_updateReserves被调用之前进行回调,导致预言机根据未更新的储藏核算价格。
EraLend团队发布了一份声明,称“进犯现已得到控制,进犯者不能再能够继续他们的行动。现在正在评估影响的范围,之后将进一步发布。”建议用户现在不要向EraLend存入USDC。
资产追寻
CertiK追寻到被盗资金被转移到多个由进犯者控制的EOA(Externally Owned Address)地址上,涉及以太坊、Arbitrum和Optimism网络。其间大部分资金被整合到以太坊网络的四个钱包中。
有关重入进犯
2020年数据:
总丢失金额:$62,936,849.00
总重入进犯次数:6
均匀每次进犯丢失金额(USD):$10,489,474.83
2021年数据:
总丢失金额:$67,924,596.28
总重入进犯次数:7
均匀每次进犯丢失金额(USD):$9,703,513.75
2022年数据:
总丢失金额:$18,403,869.53
总重入进犯次数:8
均匀每次进犯丢失金额(USD):$2,300,483.69
2023年数据:
总丢失金额:$14,121,542.00
总重入进犯次数:7
均匀每次进犯丢失金额(USD):$2,017,363.14
闪电贷进犯:日益增长的威胁
在2023年,加密钱银和区块链范畴的闪电贷进犯日益令人担忧。与2022年的101起进犯比较,本年现已发生了128起事情。这些进犯利用智能合约的缝隙来最大化赢利。
闪电贷允许用户在无抵押品的情况下借取大额资金,但必须在同一笔买卖内还清贷款。进犯者滥用了这一特性,导致迄今为止总计2.55亿美元的丢失,均匀每起事情损践约为200万美元。
在7月的头三周内,现已发生了22起进犯,导致丢失850万美元,而2023年每月均匀闪电贷进犯为18起。7月和2023年2月各自创下了每月22起进犯的记录。这凸显了了解DeFi危险和在加密钱银范畴构建更安全的智能合约的重要性。警惕和防备是在这个波动的范畴中安全飞行的必要条件。
2023年闪电贷进犯丢失金额(按月度)
2023年闪电贷进犯丢失数量(按月度)
总结
EraLend是CertiK在7月发生的第二大可重入进犯事情,本月由于闪电贷进犯共丢失640万美元。
到现在为止,7月份现已发生了3次可重入进犯。7月份可重入进犯的总丢失为640万美元,均匀每次进犯丢失210万美元。截至2023年,现已发生了7次可重入进犯,总损践约为1410万美元,均匀每次进犯丢失200万美元。值得注意的是,本年的数据至今仅计算到7月份,截至现在8月至12月没有陈述有关的进犯或丢失。到现在为止,2023年的总丢失或许超过2022年的总丢失,乃至或许达到2021年的水平,因为截止到年末还有5个月的时间。
此时快讯
【以太坊扩容项目AltLayer已部署超10万个闪电层】7月27日消息,以太坊扩容项目AltLayer发推表示,超过10万个闪电层(Flash Layers)已作为Altitude第三阶段的一部分完成部署。此前AltLayer与以太坊再质押协议EigenLayer建立合作,使再质押用户能够启动闪电层。
