Giới thiệu
Giới thiệu
Vào ngày 25 tháng 7 năm 2023, giao thức cho vay dựa trên zkSync EraLend đã thông báo về một sự cố bảo mật. Sau cuộc điều tra ban đầu, CertiK phát hiện ra rằng EraLend đã phải chịu một cuộc tấn công chỉ đọc lại, dẫn đến tổng thiệt hại khoảng 2,7 triệu USD.
Tóm tắt sự kiện
EraLend đã phải hứng chịu một cuộc tấn công vào lại chỉ đọc trên mạng chính zkSync. Cuộc tấn công được thực hiện theo địa chỉ 0xf1D 07 và kẻ tấn công đã sử dụng các khoản vay flash để thao túng giá của EraLend. EraLend sử dụng các cặp giao dịch Syncswap như một lời tiên tri về giá, có lỗ hổng chỉ đọc và đăng ký lại. Kẻ tấn công có thể đốt mã thông báo và thực hiện lệnh gọi lại trước khi _updateReserves được gọi, khiến nhà tiên tri tính giá dựa trên khoản dự trữ không được cập nhật.
Mã đang bị tấn công, nguồn Syncswap Github
Nhóm EraLend đã đưa ra một tuyên bố cho biết cuộc tấn công đã được ngăn chặn và những kẻ tấn công không thể tiếp tục hoạt động của chúng nữa. Phạm vi tác động hiện đang được đánh giá và các thông báo tiếp theo sẽ được đưa ra sau. USDC sang EraLend vào thời điểm này.
theo dõi tài sản
Mô tả hình ảnh
Ví chứa tiền bị đánh cắp
danh hiệu cấp một
về các cuộc tấn công reentrancy
Số liệu năm 2020:
Tổng số tiền thiệt hại: $62, 936, 849,00
Tổng số lần tấn công trở lại: 6
Tổn thất trung bình trên mỗi lần tấn công (USD++++++++): $10, 489, 474,83
Dữ liệu năm 2021:
Tổng số tiền thua lỗ: 67.924.596,28$
Tổng số cuộc tấn công trở lại: 7
Tổn thất trung bình trên mỗi lần tấn công (USD): $9.703, 513,75
Số liệu năm 2022:
Tổng số tiền thiệt hại: 18.403.869,53 USD
Tổng số lần tấn công trở lại: 8
Tổn thất trung bình trên mỗi lần tấn công (USD): 2.300 USD, 483,69
Số liệu năm 2023:
Tổng số cuộc tấn công trở lại: 7
Tổn thất trung bình trên mỗi lần tấn công (USD): 2.017.363,14 USD
danh hiệu cấp một
Tấn công Flash Loan: Mối đe dọa ngày càng tăng
Flash Loan cho phép người dùng vay số tiền lớn mà không cần thế chấp nhưng phải hoàn trả khoản vay trong cùng một giao dịch. Những kẻ tấn công đã lạm dụng tính năng này, dẫn đến thiệt hại tổng cộng 255 triệu USD cho đến nay, với mức thiệt hại trung bình khoảng 2 triệu USD cho mỗi vụ.
Mô tả hình ảnh
Số vụ tổn thất do tấn công flash loan năm 2023 (theo tháng)
Tóm tắt
danh hiệu cấp một
Tóm tắt
EraLend là cuộc tấn công tái tổ chức lớn thứ hai của CertiK trong tháng 7, với tổng số tiền bị mất là 6,4 triệu USD trong các cuộc tấn công cho vay nhanh trong tháng này.Cho đến nay đã có 3 cuộc tấn công tái xuất hiện trong tháng Bảy. Tổng thiệt hại từ các cuộc tấn công reentrancy trong tháng 7 là 6,4 triệu USD, với chi phí trung bình là 2,1 triệu USD cho mỗi cuộc tấn công. Tính đến năm 2023, đã có 7 cuộc tấn công tái xuất hiện với tổng thiệt hại khoảng 14,1 triệu USD, trung bình 2 triệu USD cho mỗi cuộc tấn công. Điều đáng chú ý là dữ liệu năm nay chỉ bao gồm tháng 7 và không có vụ tấn công hoặc tổn thất liên quan nào được báo cáo từ tháng 8 đến tháng 12. Tổng thiệt hại năm 2023 cho đến nay có thể vượt quá tổng thiệt hại năm 2022 và thậm chí có thể đạt đến mức của năm 2021 vì vẫn còn 5 tháng nữa.Hiểu rõ các cuộc tấn công reentrancy là điều quan trọng đối với bất kỳ ai đang tìm hiểu về không gian blockchain và DeFi để tăng cường các biện pháp bảo mật và ngăn ngừa tổn thất tài chính. Số vụ tấn công cho vay nhanh vào năm 2023 cho thấy sự cần thiết của các biện pháp bảo mật mạnh mẽ và kiểm toán của bên thứ ba. hãy kiểm tra
