소개

소개

2023년 7월 25일, zkSync Era 기반 대출 프로토콜 EraLend는 보안 사고를 발표했습니다. 초기 조사 후 CertiK는 EraLend가 읽기 전용 재진입 공격을 받아 약 270만 달러의 총 손실을 입었다는 사실을 발견했습니다.

이벤트 요약

EraLend는 zkSync 메인넷에서 읽기 전용 재진입 공격을 받았습니다. 공격은 주소 0xf1D 07에서 이루어졌으며, 공격자는 플래시론을 이용해 EraLend 가격 오라클을 조작했습니다. EraLend는 읽기 전용 및 재진입 취약점이 있는 Syncswap 거래 쌍을 가격 오라클로 사용합니다. 공격자는 _updateReserves가 호출되기 전에 토큰을 소각하고 콜백을 수행하여 오라클이 업데이트되지 않은 보유량을 기준으로 가격을 계산하도록 할 수 있습니다.

공격받고 있는 코드, 소스 Syncswap Github

EraLend 팀은 공격이 억제되었으며 공격자는 더 이상 작전을 계속할 수 없습니다. 영향의 범위는 현재 평가 중이며 추후 추가 발표가 있을 것입니다.라는 성명을 발표했습니다. 현재 USDC에서 EraLend로 전환됩니다.

자산 추적

이미지 설명

도난당한 자금이 들어있는 지갑

첫 번째 수준 제목

재진입 공격에 대해

2020년 데이터:

총 손실 금액: $62, 936, 849.00

총 재진입 공격: 6

공격당 평균 손실(USD++++++++): $10, 489, 474.83

2021년 데이터:

총 손실액 : $ 67, 924, 596.28

총 재진입 공격: 7

공격당 평균 손실(USD): $9,703,513.75

2022년 수치:

총 손실 금액: $18,403,869.53

총 재진입 공격: 8

공격당 평균 손실(USD): $2,300,483.69

2023년 수치:

총 재진입 공격: 7

공격당 평균 손실(USD): $2,017,363.14

첫 번째 수준 제목

플래시론 공격: 점점 커지는 위협

플래시론은 담보 없이 큰 금액을 빌릴 수 있지만 동일한 거래 내에서 대출금을 상환해야 하는 방식이다. 공격자들은 이 기능을 악용하여 현재까지 총 2억 5,500만 달러의 손실을 입혔으며, 사고당 평균 약 200만 달러의 손실이 발생했습니다.

이미지 설명

2023년 플래시론 공격 손실 건수(월별)

요약하다

첫 번째 수준 제목

요약하다

EraLend는 7월에 발생한 CertiK의 두 번째로 큰 재진입 공격으로, 이번 달 플래시 대출 공격으로 인해 총 640만 달러의 손실이 발생했습니다.7월에는 지금까지 3번의 재진입 공격이 발생했습니다. 7월 재진입 공격으로 인한 총 손실은 640만 달러였으며, 공격당 평균 비용은 210만 달러였습니다. 2023년 기준으로 재진입 공격은 7건이 발생해 총 손실액은 약 1,410만 달러, 공격당 평균 200만 달러에 이른다. 참고로 올해 데이터는 7월만 집계되었으며, 8월부터 12월까지 아직까지 관련 공격이나 피해가 보고되지 않았다는 점에 주목할 필요가 있습니다. 현재까지 2023년 총 손실은 2022년 총 손실을 초과할 수 있으며 아직 5개월이 남았기 때문에 2021년 수준에 도달할 수도 있습니다.재진입 공격을 이해하는 것은 보안 관행을 강화하고 재정적 손실을 방지하기 위해 블록체인 및 DeFi 공간에 손을 대는 모든 사람에게 중요합니다. 2023년 플래시 대출 공격 건수는 강력한 보안 조치와 제3자 감사의 필요성을 보여줍니다. 확인해주십시오