EraLend 攻击事件分析_ERA:RAL

简介

在2023年7月25日,zkSync Era-based借贷协议EraLend宣布发生了一起安全事件。在初步调查后,CertiK发现EraLend遭到了只读可重入攻击,导致总损失约270万美元。

事件概要

EraLend在ZkSync主网上遭受了只读可重入攻击。该攻击由地址0xf1D07执行,攻击者利用了闪电贷去操控EraLend价格预言机。EraLend使用Syncswap交易对作为价格预言机,其中存在只读可重入漏洞。攻击者能够销毁代币,并在_updateReserves被调用之前进行回调,导致预言机基于未更新的储备计算价格。

Alliance DAO公布16个Web3加速器项目,包括Caldera、Wallchain等:5月18日消息,Alliance DAO 公布 16 个入选 Web3 加速器和建设者社区( ALL10)的项目,包括区块链数据 ChatGPT 平台 Teablocks、比特币钱包 Xverse、ZK rollups 即服务 Snapchain、碳信用体力劳动证明协议 Glow、基于 ZK 的 AI 项目 Modulus Labs、Web3 的 AI 社区管理工具 AwesomeQA、链上可组合游戏 Primodium、钱包管理工具 Fountain、永续合成期权 Itos、用户研究工具 Dataleap、Layer2 开发平台 Caldera、反 MEV 解决方案 Wallchain、应用链支付解决方案 Singularity、dApp 通信解决方案 Hashmail、区块链数据平台 Defined、Web3 欺诈预防插件 Pocket Universe。[2023/5/18 15:10:51]

Hedera Governing Council宣布COFRA成为其最新成员:5月17日消息,Hedera Governing Council今天宣布COFRA成为其最新成员,至此其成员数达到30个。COFRA是一家拥有182年历史的家族企业,在全球拥有6万多名员工。

COFRA主要服务于终端用户,计划在Hedera上创建基于区块链的尖端解决方案,最初专注于代币化,并在其供应链流程中带来透明度。据称,该组织将利用Hedera专有的代币服务(HTC)来发行或代币化现实世界的资产。[2023/5/18 15:09:30]

EraLend团队发布了一份声明,称“攻击已经得到控制,攻击者不能再能够继续他们的行动。目前正在评估影响的范围,之后将进一步公布。”建议用户目前不要向EraLend存入USDC。

Cover Protocol已上线开源算法稳定币项目Basis Cash coverag:Cover Protocol发推表示,已上线开源算法稳定币项目Basis Cash coverag,使用yDAI作为抵押。[2020/11/30 22:35:11]

资产追踪

CertiK追踪到被盗资金被转移到多个由攻击者控制的EOA(Externally Owned Address)地址上,涉及以太坊、Arbitrum和Optimism网络。其中大部分资金被整合到以太坊网络的四个钱包中。

声音 | CasperLabs:对Steven Nerayoff被捕并不知情,当事人已离职:据官方消息,针对以太坊早期顾问Steven Nerayoff涉嫌向一家西雅图初创公司勒索数百万美金的加密货币的新闻,CasperLabs的首席执行官 Mrinal Manohar在接受采访时表示,“在我们阅读到这篇新闻报道之前,并不知晓 Nerayoff被捕和指控的消息。而且Nerayoff已经不在CasperLabs 任职。”Steven Nerayoff是一名技术企业家 ,曾经参与以太坊、CasperLabs和tZero以及10多个ICO和加密货币项目。和他一起被捕的还有另一名犯罪嫌疑人Michael Hlady,如果罪名成立,俩人或将面临长达 20 年的监禁。[2019/9/19]

有关重入攻击

2020年数据:

总损失金额:$62,936,849.00

总重入攻击次数:6

平均每次攻击损失金额(USD):$10,489,474.83

2021年数据:

总损失金额:$67,924,596.28

总重入攻击次数:7

平均每次攻击损失金额(USD):$9,703,513.75

2022年数据:

总损失金额:$18,403,869.53

总重入攻击次数:8

平均每次攻击损失金额(USD):$2,300,483.69

2023年数据:

总损失金额:$14,121,542.00

平均每次攻击损失金额(USD):$2,017,363.14

闪电贷攻击:日益增长的威胁

在2023年,加密货币和区块链领域的闪电贷攻击日益令人担忧。与2022年的101起攻击相比,今年已经发生了128起事件。这些攻击利用智能合约的漏洞来最大化利润。

闪电贷允许用户在无抵押品的情况下借取大额资金,但必须在同一笔交易内还清贷款。攻击者滥用了这一特性,导致迄今为止总计2.55亿美元的损失,平均每起事件损失约为200万美元。

在7月的头三周内,已经发生了22起攻击,导致损失850万美元,而2023年每月平均闪电贷攻击为18起。7月和2023年2月各自创下了每月22起攻击的记录。这凸显了理解DeFi风险和在加密货币领域构建更安全的智能合约的重要性。警惕和预防是在这个波动的领域中安全航行的必要条件。

2023年闪电贷攻击损失金额(按月度)

2023年闪电贷攻击损失数量(按月度)

总结

EraLend是CertiK在7月发生的第二大可重入攻击事件,本月由于闪电贷攻击共损失640万美元。

到目前为止,7月份已经发生了3次可重入攻击。7月份可重入攻击的总损失为640万美元,平均每次攻击损失210万美元。截至2023年,已经发生了7次可重入攻击,总损失约为1410万美元,平均每次攻击损失200万美元。值得注意的是,今年的数据至今仅统计到7月份,截至目前8月至12月尚未报告有关的攻击或损失。到目前为止,2023年的总损失可能超过2022年的总损失,甚至可能达到2021年的水平,因为截止到年底还有5个月的时间。

CertiK中文社区

企业专栏

阅读更多

Foresight News

金色财经 Jason.

白话区块链

金色早8点

LD Capital

-R3PO

MarsBit

深潮TechFlow

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:15ms0-2:61ms