EraLend 攻擊事件分析_END:LEND

簡介

在2023年7月25日，zkSync Era-based借貸協議EraLend宣布發生了一起安全事件。在初步調查后，CertiK發現EraLend遭到了只讀可重入攻擊，導致總損失約270萬美元。

事件概要

EraLend在ZkSync主網上遭受了只讀可重入攻擊。該攻擊由地址0xf1D07執行，攻擊者利用了閃電貸去操控EraLend價格預言機。EraLend使用Syncswap交易對作為價格預言機，其中存在只讀可重入漏洞。攻擊者能夠銷毀代幣，并在_updateReserves被調用之前進行回調，導致預言機基于未更新的儲備計算價格。

Espresso Systems與Caldera合作將在OP Stack中構建Optimistic rollup:7月26日消息，區塊鏈基礎設施公司 Espresso Systems 宣布正在與 Rollup 即服務（RaaS）公司 Caldera 合作，將去中心化測序引入 OP Stack，團隊將在 OP Stack 中構建 Optimistic rollup，測試網很快將可供所有人使用。

在合作方面，Caldera 將提供 OP rollup 界面、站點托管、區塊瀏覽器和索引器。Espresso Sequencer 將與 OP 堆棧 Stack ，支持開發人員從發布開始就構建去中心化 Rollups。[2023/7/26 15:59:22]

無許可抵押協議Ampera成立基金會，將支持AMP生態發展:2月10日消息，以太坊生態無許可抵押協議Ampera成立Ampera Foundation，Ampera基金會是一個完全獨立的非營利組織，致力于Amp生態系統的發展和壯大，基金會最初由Flexa Network捐贈的AMP提供支持。同時，Ampera官方推特透露，新的Ampera協議將在未來幾周推出。[2023/2/10 11:59:23]

EraLend團隊發布了一份聲明，稱“攻擊已經得到控制，攻擊者不能再能夠繼續他們的行動。目前正在評估影響的范圍，之后將進一步公布。”建議用戶目前不要向EraLend存入USDC。

資產追蹤

CertiK追蹤到被盜資金被轉移到多個由攻擊者控制的EOA（Externally Owned Address）地址上，涉及以太坊、Arbitrum和Optimism網絡。其中大部分資金被整合到以太坊網絡的四個錢包中。

“Proof of View” 區塊鏈視頻服務Verasity專利獲美國知識產權局批準:金色財經報道，提供視頻服務獎勵和防廣告欺詐開放式分類賬生態系統Verasity宣布已在美國獲得全面專利批準（具有國際優先權），基于區塊鏈的“Proof of View”技術專利名稱為《獎勵視頻觀看的系統和方法》（System and Method for Reward Video Viewing），可應用于廣告、電子競技和視頻播放器行業。（cryptobriefing）[2022/11/27 20:55:13]

游戲巨頭Take-Two Interactive將以127億美元收購Zynga，共同探索Web3機遇:金色財經報道，美國游戲開發商和發行商Take-Two Interactive周一宣布以“現金+股票”的形式收購社交游戲開發商Zynga，整體交易的估值達到127億美元。現金和股票交易預計將于6月30日完成，等待兩家公司各自股東以及監管機構的批準。

在周一的電話會議上，Take-Two Interactive首席執行官Strauss Zelnick表示，收購Zynga將使合并后的公司能夠應對新的“Web3機遇”。他補充說，“這種組合將使我們能夠比任何一家公司單獨解決問題更有效。”

據悉，Take-Two Interactive是游戲品牌Rockstar Games和2K Games的母公司，并擁有俠盜獵車手、荒野大鏢客、NBA 2K和無主之地等流行游戲的特許經營權，Zynga因FarmVille和Words With Friends等休閑游戲而出名。（Decrypt）[2022/1/11 8:40:28]

有關重入攻擊

2020年數據：

總損失金額：$62,936,849.00

總重入攻擊次數：6

平均每次攻擊損失金額(USD)：$10,489,474.83

2021年數據：

總損失金額：$67,924,596.28

總重入攻擊次數：7

平均每次攻擊損失金額(USD)：$9,703,513.75

2022年數據：

總損失金額：$18,403,869.53

總重入攻擊次數：8

平均每次攻擊損失金額(USD)：$2,300,483.69

2023年數據：

總損失金額：$14,121,542.00

平均每次攻擊損失金額(USD)：$2,017,363.14

閃電貸攻擊：日益增長的威脅

在2023年，加密貨幣和區塊鏈領域的閃電貸攻擊日益令人擔憂。與2022年的101起攻擊相比，今年已經發生了128起事件。這些攻擊利用智能合約的漏洞來最大化利潤。

閃電貸允許用戶在無抵押品的情況下借取大額資金，但必須在同一筆交易內還清貸款。攻擊者濫用了這一特性，導致迄今為止總計2.55億美元的損失，平均每起事件損失約為200萬美元。

在7月的頭三周內，已經發生了22起攻擊，導致損失850萬美元，而2023年每月平均閃電貸攻擊為18起。7月和2023年2月各自創下了每月22起攻擊的記錄。這凸顯了理解DeFi風險和在加密貨幣領域構建更安全的智能合約的重要性。警惕和預防是在這個波動的領域中安全航行的必要條件。

2023年閃電貸攻擊損失金額（按月度）

2023年閃電貸攻擊損失數量（按月度）

總結

EraLend是CertiK在7月發生的第二大可重入攻擊事件，本月由于閃電貸攻擊共損失640萬美元。

到目前為止，7月份已經發生了3次可重入攻擊。7月份可重入攻擊的總損失為640萬美元，平均每次攻擊損失210萬美元。截至2023年，已經發生了7次可重入攻擊，總損失約為1410萬美元，平均每次攻擊損失200萬美元。值得注意的是，今年的數據至今僅統計到7月份，截至目前8月至12月尚未報告有關的攻擊或損失。到目前為止，2023年的總損失可能超過2022年的總損失，甚至可能達到2021年的水平，因為截止到年底還有5個月的時間。

CertiK中文社區

企業專欄

閱讀更多

Foresight News

金色財經 Jason.

白話區塊鏈

金色早8點

LD Capital

-R3PO

MarsBit

深潮TechFlow

Tags：ERAAMPENDLENDImage Generation AISWAMPALEND幣ETHA Lend

比特幣行情