การแนะนำ

การแนะนำ

เมื่อวันที่ 25 กรกฎาคม 2023 EraLend โปรโตคอลการให้ยืมที่ใช้ zkSync Era ได้ประกาศเหตุการณ์ด้านความปลอดภัย หลังจากการสอบสวนเบื้องต้น CertiK พบว่า EraLend ประสบกับการโจมตีแบบอ่านอย่างเดียวและกลับเข้ามาใหม่ ซึ่งส่งผลให้สูญเสียเงินทั้งหมดประมาณ 2.7 ล้านดอลลาร์

สรุปเหตุการณ์

EraLend ประสบกับการโจมตีแบบอ่านอย่างเดียวบนเมนเน็ต zkSync การโจมตีดำเนินการตามที่อยู่ 0xf1D 07 และผู้โจมตีใช้แฟลชกู้ยืมเพื่อจัดการ Oracle ราคา EraLend EraLend ใช้คู่การซื้อขาย Syncswap เป็นออราเคิลราคา ซึ่งมีช่องโหว่แบบอ่านอย่างเดียวและกลับเข้ามาใหม่ ผู้โจมตีสามารถเผาโทเค็นและโทรกลับก่อนที่จะเรียก _updateReserves ทำให้ oracle คำนวณราคาตามเงินสำรองที่ไม่ได้อัปเดต

โค้ดถูกโจมตี แหล่งที่มา Syncswap Github

ทีม EraLend ออกแถลงการณ์ระบุว่า การโจมตีได้ถูกควบคุมแล้วและผู้โจมตีไม่สามารถดำเนินการต่อไปได้อีกต่อไป ขณะนี้ขอบเขตของผลกระทบกำลังได้รับการประเมินและจะประกาศเพิ่มเติมในภายหลัง ผู้ใช้ไม่ควรฝากเงิน USDC ถึง EraLend ในขณะนี้

การติดตามทรัพย์สิน

คำอธิบายรูปภาพ

กระเป๋าเงินที่มีเงินที่ถูกขโมย

ชื่อระดับแรก

เกี่ยวกับการโจมตีซ้ำ

ข้อมูลปี 2020:

จำนวนเงินที่สูญเสียทั้งหมด: $62, 936, 849.00

การโจมตีกลับเข้าใหม่ทั้งหมด: 6

การสูญเสียโดยเฉลี่ยต่อการโจมตี (USD++++++++): $ 10, 489, 474.83

ข้อมูลปี 2021:

ยอดขาดทุนทั้งหมด: $ 67, 924, 596.28

การโจมตีกลับเข้าใหม่ทั้งหมด: 7

การสูญเสียโดยเฉลี่ยต่อการโจมตี (USD): $ 9, 703, 513.75

ตัวเลขปี 2022:

จำนวนเงินที่สูญเสียทั้งหมด: 18,403,869.53 ดอลลาร์

การโจมตีกลับเข้าใหม่ทั้งหมด: 8

การสูญเสียโดยเฉลี่ยต่อการโจมตี (USD): $ 2, 300, 483.69

ตัวเลขปี 2023:

การโจมตีกลับเข้าใหม่ทั้งหมด: 7

การสูญเสียเฉลี่ยต่อการโจมตี (USD): $ 2, 017, 363.14

ชื่อระดับแรก

การโจมตีด้วยสินเชื่อแฟลช: ภัยคุกคามที่เพิ่มมากขึ้น

สินเชื่อ Flash อนุญาตให้ผู้ใช้ยืมเงินจำนวนมากโดยไม่มีหลักประกัน แต่ต้องชำระคืนเงินกู้ภายในธุรกรรมเดียวกัน ผู้โจมตีใช้ฟีเจอร์นี้ในทางที่ผิด ส่งผลให้เกิดความเสียหายรวม 255 ล้านดอลลาร์จนถึงปัจจุบัน โดยสูญเสียโดยเฉลี่ยประมาณ 2 ล้านดอลลาร์ต่อเหตุการณ์

คำอธิบายรูปภาพ

จำนวนการสูญเสียการโจมตีแฟลชสินเชื่อในปี 2566 (รายเดือน)

สรุป

ชื่อระดับแรก

สรุป

EraLend เป็นการโจมตีกลับเข้าใหม่ครั้งใหญ่เป็นอันดับสองของ CertiK ในเดือนกรกฎาคม โดยสูญเสียเงินทั้งหมด 6.4 ล้านดอลลาร์จากการโจมตีแบบแฟลชยืมตัวในเดือนนี้จนถึงขณะนี้มีการโจมตีซ้ำแล้ว 3 ครั้งในเดือนกรกฎาคม ความสูญเสียทั้งหมดจากการโจมตีซ้ำในเดือนกรกฎาคมอยู่ที่ 6.4 ล้านดอลลาร์ โดยมีค่าใช้จ่ายเฉลี่ย 2.1 ล้านดอลลาร์ต่อการโจมตีหนึ่งครั้ง ในปี 2023 มีการโจมตีซ้ำ 7 ครั้ง โดยมีมูลค่าการสูญเสียรวมประมาณ 14.1 ล้านดอลลาร์ เฉลี่ย 2 ล้านดอลลาร์ต่อการโจมตีหนึ่งครั้ง เป็นที่น่าสังเกตว่าข้อมูลของปีนี้ครอบคลุมเฉพาะเดือนกรกฎาคมเท่านั้น และไม่มีรายงานการโจมตีหรือการสูญเสียที่เกี่ยวข้องตั้งแต่เดือนสิงหาคมถึงธันวาคม ความสูญเสียทั้งหมดในปี 2023 จนถึงตอนนี้อาจเกินกว่าความสูญเสียทั้งหมดในปี 2022 และอาจสูงถึงระดับปี 2021 เนื่องจากยังมีเวลาอีก 5 เดือนข้างหน้าการทำความเข้าใจการโจมตีแบบกลับเข้ามาใหม่เป็นสิ่งสำคัญสำหรับทุกคนที่คลุกคลีอยู่ในบล็อกเชนและ DeFi เพื่อปรับปรุงแนวทางปฏิบัติด้านความปลอดภัยและป้องกันการสูญเสียทางการเงิน จำนวนการโจมตีแบบ Flash Loan ในปี 2566 แสดงให้เห็นถึงความจำเป็นในการใช้มาตรการรักษาความปลอดภัยที่เข้มงวดและการตรวจสอบจากบุคคลที่สาม โปรดตรวจสอบ