SYN:EraLend 攻擊事件分析_SYNC

簡介

在2023年7月25日，zkSync Era-based借貸協議EraLend宣布發生了一起安全事件。在初步調查后，CertiK發現EraLend遭到了只讀可重入攻擊，導致總損失約270萬美元。

事件概要

EraLend在ZkSync主網上遭受了只讀可重入攻擊。該攻擊由地址0xf1D07執行，攻擊者利用了閃電貸去操控EraLend價格預言機。EraLend使用Syncswap交易對作為價格預言機，其中存在只讀可重入漏洞。攻擊者能夠銷毀代幣，并在_updateReserves被調用之前進行回調，導致預言機基于未更新的儲備計算價格。

zkSync：zkSync Era執行延遲安全機制將允許有足夠時間檢測問題并及時作出反應:3月24日消息，zkSync介紹zkSync Era多層安全機制中的其中一種機制，即執行延遲，執行延遲意味著每個提交給L1的L2塊在執行和最終確定之前都會有一個時間鎖，最初該延遲將是24小時，隨著系統的成熟，該延遲將逐漸減少，直到移除Alpha階段，屆時延遲將被完全移除。延遲主要是確保團隊有足夠的時間在區塊成為最終區塊之前驗證包含在區塊中的交易的影響，并且有足夠的時間來檢測漏洞、調查并通過治理凍結協議。

此前報道，2月中旬zkSync宣布上線Fair Onboarding Alpha主網，在此階段，主網對最終用戶保持關閉，注冊項目可以在系統向外部用戶開放之前在封閉環境中部署和測試應用程序。同時，zkSync 2.0更名為zkSync Era，zkSync 1.0更名為zkSync Lite。根據zkSync Era路線圖，下一個里程碑是zkSync Era公開發布。[2023/3/24 13:23:41]

超半數礦企股票收漲，Cipher、TeraWulf和Argo Blockchain漲幅均超14%:12月3日消息，數據顯示，在The Block追蹤的23只比特幣礦業股票中，有13只昨日收漲。漲幅榜前三的股票分別是：Cipher Mining（+14.65）、TeraWulf（+14.46）和Argo Blockchain UK（+14.29），跌幅最高的是Mawson Infrastructure Group（-7.21%）。[2022/12/3 21:19:54]

EraLend團隊發布了一份聲明，稱“攻擊已經得到控制，攻擊者不能再能夠繼續他們的行動。目前正在評估影響的范圍，之后將進一步公布。”建議用戶目前不要向EraLend存入USDC。

Move to Earn創企Fitmint完成160萬美元種子輪融資，General Catalyst領投:6月29日消息，總部位于班加羅爾的“Move to Earn”Web3初創公司Fitmint宣布完成160萬美元種子輪融資，General Catalyst領投，iSeed、Kearny Jackson、Dweb3、1947 Rise等參投。新融資將用于招聘及團隊擴張、營銷和優化技術基礎設施。

Fitmint聯合創始人兼首席執行官Rohit Sharma透露，該公司已經開始創收，其目標是在本財年末（即2022-23財年）之前產生1200-1500萬美元收入。（BW Disrupt）[2022/6/29 1:39:17]

資產追蹤

動態 | 風投基金Pantera Capital CEO：Libra將帶給比特幣等加密貨幣巨大利好影響:據Dailyhodl消息，加密資產風險投資基金Pantera Capital CEO Dan Morehead近日發文表示，Libra將給比特幣等加密貨幣帶來巨大的利好影響。Morehead表示，競爭的加劇將培育出最強大的網絡，從而為社會提供真正的利益。正如加密貨幣可能是金融領域的下一個進化一樣，加密貨幣本身也將發生進化。Libra白皮書中所描述的方法是在兩個現存金融體系之間實現平衡，這將有可能吸取這兩個體系中各自最大的優點。[2019/7/24]

CertiK追蹤到被盜資金被轉移到多個由攻擊者控制的EOA（Externally Owned Address）地址上，涉及以太坊、Arbitrum和Optimism網絡。其中大部分資金被整合到以太坊網絡的四個錢包中。

有關重入攻擊

2020年數據：

總損失金額：$62,936,849.00

總重入攻擊次數：6

平均每次攻擊損失金額(USD)：$10,489,474.83

2021年數據：

總損失金額：$67,924,596.28

總重入攻擊次數：7

平均每次攻擊損失金額(USD)：$9,703,513.75

2022年數據：

總損失金額：$18,403,869.53

總重入攻擊次數：8

平均每次攻擊損失金額(USD)：$2,300,483.69

2023年數據：

總損失金額：$14,121,542.00

平均每次攻擊損失金額(USD)：$2,017,363.14

閃電貸攻擊：日益增長的威脅

在2023年，加密貨幣和區塊鏈領域的閃電貸攻擊日益令人擔憂。與2022年的101起攻擊相比，今年已經發生了128起事件。這些攻擊利用智能合約的漏洞來最大化利潤。

閃電貸允許用戶在無抵押品的情況下借取大額資金，但必須在同一筆交易內還清貸款。攻擊者濫用了這一特性，導致迄今為止總計2.55億美元的損失，平均每起事件損失約為200萬美元。

在7月的頭三周內，已經發生了22起攻擊，導致損失850萬美元，而2023年每月平均閃電貸攻擊為18起。7月和2023年2月各自創下了每月22起攻擊的記錄。這凸顯了理解DeFi風險和在加密貨幣領域構建更安全的智能合約的重要性。警惕和預防是在這個波動的領域中安全航行的必要條件。

2023年閃電貸攻擊損失金額（按月度）

2023年閃電貸攻擊損失數量（按月度）

總結

EraLend是CertiK在7月發生的第二大可重入攻擊事件，本月由于閃電貸攻擊共損失640萬美元。

到目前為止，7月份已經發生了3次可重入攻擊。7月份可重入攻擊的總損失為640萬美元，平均每次攻擊損失210萬美元。截至2023年，已經發生了7次可重入攻擊，總損失約為1410萬美元，平均每次攻擊損失200萬美元。值得注意的是，今年的數據至今僅統計到7月份，截至目前8月至12月尚未報告有關的攻擊或損失。到目前為止，2023年的總損失可能超過2022年的總損失，甚至可能達到2021年的水平，因為截止到年底還有5個月的時間。

CertiK中文社區

企業專欄

閱讀更多

Foresight News

金色財經 Jason.

白話區塊鏈

金色早8點

LD Capital

-R3PO

MarsBit

深潮TechFlow

Tags：ERASYNSYNCZKSGeneration FinanceSyndicateDSYNC幣ZKS價格

以太坊價格今日行情