EraLend 在 zkSync 主网上遭受了只读可重入攻击，攻击者利用了闪电贷去操控 EraLend 价格预言机。

撰文：CertiK

在 2023 年 7 月 25 日，zkSync Era-based 借贷协议 EraLend 宣布发生了一起安全事件。在初步调查后，CertiK 发现 EraLend 遭到了只读可重入攻击，导致总损失约 270 万美元。

事件概要

EraLend 在 ZkSync 主网上遭受了只读可重入攻击。该攻击由地址 0xf1D07 执行，攻击者利用了闪电贷去操控 EraLend 价格预言机。EraLend 使用 Syncswap 交易对作为价格预言机，其中存在只读可重入漏洞。攻击者能够销毁代币，并在_updateReserves 被调用之前进行回调，导致预言机基于未更新的储备计算价格。

EraLend 团队发布了一份声明，称「攻击已经得到控制，攻击者不能再能够继续他们的行动。目前正在评估影响的范围，之后将进一步公布。」建议用户目前不要向 EraLend 存入 USDC。

资产追踪

CertiK 追踪到被盗资金被转移到多个由攻击者控制的 EOA（Externally Owned Address）地址上，涉及以太坊、Arbitrum 和 Optimism 网络。其中大部分资金被整合到以太坊网络的四个钱包中。

有关重入攻击

2020 年数据：

• 总损失金额：$62,936,849.00
• 总重入攻击次数：6
• 平均每次攻击损失金额 (USD)：$10,489,474.83

2021 年数据：

• 总损失金额：$67,924,596.28
• 总重入攻击次数：7
• 平均每次攻击损失金额 (USD)：$9,703,513.75

2022 年数据：

• 总损失金额：$18,403,869.53
• 总重入攻击次数：8
• 平均每次攻击损失金额 (USD)：$2,300,483.69

2023 年数据：

• 总损失金额：$14,121,542.00
• 总重入攻击次数：7
• 平均每次攻击损失金额 (USD)：$2,017,363.14

闪电贷攻击：日益增长的威胁

在 2023 年，加密货币和区块链领域的闪电贷攻击日益令人担忧。与 2022 年的 101 起攻击相比，今年已经发生了 128 起事件。这些攻击利用智能合约的漏洞来最大化利润。

闪电贷允许用户在无抵押品的情况下借取大额资金，但必须在同一笔交易内还清贷款。攻击者滥用了这一特性，导致迄今为止总计 2.55 亿美元的损失，平均每起事件损失约为 200 万美元。

在 7 月的头三周内，已经发生了 22 起攻击，导致损失 850 万美元，而 2023 年每月平均闪电贷攻击为 18 起。7 月和 2023 年 2 月各自创下了每月 22 起攻击的记录。这凸显了理解 DeFi 风险和在加密货币领域构建更安全的智能合约的重要性。警惕和预防是在这个波动的领域中安全航行的必要条件。

2023 年闪电贷攻击损失金额（按月度）

2023 年闪电贷攻击损失数量（按月度）

总结

EraLend 是 7 月发生的第二大可重入攻击事件，本月由于闪电贷攻击共损失 640 万美元。

到目前为止，7 月份已经发生了 3 次可重入攻击。7 月份可重入攻击的总损失为 640 万美元，平均每次攻击损失 210 万美元。截至 2023 年，已经发生了 7 次可重入攻击，总损失约为 1410 万美元，平均每次攻击损失 200 万美元。值得注意的是，今年的数据至今仅统计到 7 月份，截至目前 8 月至 12 月尚未报告有关的攻击或损失。到目前为止，2023 年的总损失可能超过 2022 年的总损失，甚至可能达到 2021 年的水平，因为截止到年底还有 5 个月的时间。