Vào tối ngày 25/7, EraLend, giao thức cho vay có TVL cao nhất trên zkSync, bất ngờ bị hack.

Theo thông báo do EraLend đưa ra sau đó, nguyên nhân của cuộc tấn công này là do hacker đã thao túng giá của máy oracle và lấy được khoảng 2,76 triệu USD tiền từ quỹ USDC của EraLend, trong khi các nhóm quỹ khác không bị ảnh hưởng.

Sau sự cố, để hạn chế tác động thêm, EraLend đã tạm thời ngừng hoạt động vay (Vay) của tất cả các nhóm, cũng như chức năng gửi tiền (Cung cấp) của nhóm USDC và nhóm SyncSwap LP.

Vì tôi rất thích nhổ tóc nên tôi sẽ luôn tích cực tương tác với các dự án mới về hệ sinh thái mới, đương nhiên, những dự án phổ biến hơn như EraLend có quy mô dữ liệu hàng đầu về hệ sinh thái sẽ không bỏ lỡ.

Thật không may, tôi tình cờ có 1.000 USDC được lưu trữ trong pool USDC của EraLend nên tôi “may mắn” khi trở thành nạn nhân trực tiếp của vụ việc này.

Vào ngày 26 tháng 7, khi tôi mở giao diện chính của EraLend và thấy quy mô của nhóm USDC gần như trở về 0 và việc rút tiền dường như vô vọng, tôi chỉ có thể thở dài Thật là xui xẻo.

Với tâm lý xem tình hình sẽ đi đến đâu, tôi mở giao diện Discord chính thức của EraLend, duyệt kênh thông báo không có tiến triển gì, tôi mở kênh tiếng Trung xem có nạn nhân tương tự không.

Sau khi vào kênh này, tôi thấy rằng mặc dù một số đồng nghiệp thỉnh thoảng hỏi thăm tình hình, nhưng nhiều ông lớn ở khu vực Trung Quốc lại tích cực trao đổi về một vấn đề khác - đào bể.

Giống như được giác ngộ, tôi lập tức nhận ra rằng mọi thứ dường như đang quay đầu lại!

Cái gọi là đào nhóm đề cập đến việc tích cực theo dõi những thay đổi về quy mô của nhóm USDC để xem liệu có dòng vốn mới nào chảy vào hay không, sau đó bằng cách bắt đầu hết giao dịch này đến giao dịch khác, hãy cố gắng chuyển từ từ tiền gửi của bạn từ nhóm vào nhóm USDC. Rút trở lại.

Vậy tại sao pool USDC vốn đã bị hacker xóa sổ và tạm dừng tiền gửi lại có thể tiếp tục có dòng vốn vào?

Câu trả lời là chỉ có USDC bị thiệt hại trong vụ hack của EraLend lần này, còn các pool ETH và SyncSwap LP không bị ảnh hưởng, vì lo ngại về tính bảo mật của dự án nên một số người trong số họ đã có tài sản ở 2 pool này và vay chúng làm tài sản thế chấp. Nếu người dùng đã rút USDC muốn lấy lại tiền của mình (ETH hoặc mã thông báo SyncSwap LP), trước tiên họ cần phải trả khoản nợ USDC. Điều này khiến cho nhóm USDC tiếp tục có các khoản nợ quay trở lại và nó cũng mang đến cho nạn nhân cơ hội “lấy lại” tiền của họ.

Tất nhiên, vì mỗi lần trả nợ sẽ chỉ trả lại một lượng USDC không xác định và số nạn nhân nhìn chằm chằm vào bể với hy vọng trả lại máu của mình là rất lớn nên chắc chắn sẽ có sự cạnh tranh khốc liệt. Trong trường hợp này, đối thủ cạnh tranh mạnh nhất đương nhiên là các nhà khoa học đã triển khai robot, nhưng có lẽ bản thân dự án L2 có mức độ phổ biến hạn chế (nhiều khả năng là các nhà khoa học có thể nhìn thấy mã thường không gặp may mắn như vậy), và nhiều người dùng Điều đó có nghĩa là việc đào thủ công thực sự có thể có tỷ lệ thành công cao.

Khi vào kênh tình cờ có một số ông lớn cho biết họ đã tiêu bao nhiêu tiền, đặc biệt là kẻ tàn nhẫn bên dưới đã tiêu 1.000 USDC cả đêm. câu nói đó đã khiến tôi quyết tâm làm một việc lớn.

Thế là từ 2 giờ chiều nay tôi cũng bắt đầu thử sức “đào” bể bơi.

Sau khi cố gắng thực hiện yêu cầu rút tiền ở giao diện người dùng của EraLend nhiều lần nhưng gặp lỗi, cuối cùng tôi đã gửi giao dịch đầu tiên khi số dư trong nhóm là khoảng 4 USD, nhưng tiếc là nó không được xác nhận trên chuỗi. Về vấn đề này, tôi đã hỏi các ông lớn trong cộng đồng và câu trả lời tôi nhận được là đây là một tình huống bình thường, xét cho cùng thì mọi người đều đang cướp những khoản tiền này, mặc dù sẽ có một lượng gas tổn thất nhất định khi giao dịch thất bại, so sánh để lấy lại tiền, phần này Mất mát không nghiêm trọng.

Vì vậy, tôi tiếp tục thử và dần dần nhận thấy rằng cứ 2-3 yêu cầu rút tiền thì có khoảng 1 yêu cầu rút tiền có thể tránh được thông báo lỗi để bắt đầu giao dịch thành công và sau đó cứ khoảng 2-3 giao dịch có thể được xác nhận thành công (cũng xuất hiện trong trường hợp n lần thất bại liên tiếp, đây chỉ là xác suất tổng thể), sau đó hoàn thành việc rút tiền lẻ tẻ.

Đối với số tiền bạn có thể nhận được cho mỗi lần rút tiền thành công, về cơ bản nó chỉ là 1-3 đô la Mỹ trong hầu hết các trường hợp.

Tuy nhiên, nếu tình cờ gặp một vị “Bồ Tát sống” hoàn trả số tiền lớn thì cũng có thể có cơ hội “trả” một số tiền lớn. Theo tình hình của tôi, 301 USDC đã từng được rút ra với số tiền cao nhất, điều này đã đẩy nhanh đáng kể tiến độ chung của tôi.

Kiểu phản hồi kết quả hoàn toàn ngẫu nhiên này đã mang lại cho tôi một loại kích thích khác một cách tuyệt vời. Tất nhiên, tôi không phải là người duy nhất nghĩ như vậy. Một số người trong cộng đồng đã nói đùa rằng: Tôi thậm chí còn nghĩ rằng nó rất thú vị. Lấy ra một Noh lớn. nửa tiếng.

Nhiều người dùng hơn đang nói đùa và cổ vũ lẫn nhau, mỉm cười nói rằng điều này đáng tin cậy hơn việc giao đồ ăn.

Nói chung, khi ngày càng có nhiều người tiếp tục rút tiền lại tiền của họ, dường như cộng đồng không có nhiều sự đàn áp đối với vụ hack.

Cuối cùng, vào khoảng 5 giờ chiều, tôi “nhặt” giao dịch cuối cùng khoảng 6$ và đã lấy lại thành công 1.000 USDC mà tôi nghĩ rằng mình sẽ không bao giờ lấy lại được nữa, toàn bộ quá trình mất khoảng 3 giờ.

Nhìn chung, có lẽ tôi đã sử dụng ít hơn một trăm giao dịch (bao gồm cả những giao dịch không thành công). Xét rằng các giao dịch rút tiền thành công của EraLend sẽ có một lượng gas hoàn lại nhất định, mức tiêu thụ gas của mỗi giao dịch là khoảng 0,4 đô la Mỹ, tức là toàn bộ hành trình có giá khoảng 40 USD. Kuoyi, tài khoản này hoàn toàn xứng đáng!

Tính đến thời điểm xuất bản, vẫn có nhiều người dùng tiếp tục rút tiền và cố gắng lấy lại số tiền đã lưu trữ trong EraLend, nhưng có thể thấy trước rằng khi có nhiều người dùng tham gia hơn và quy mô nợ tiếp tục giảm (nghĩa là, Nhóm USDC Tổng số tiền có thể hoàn lại tiếp tục giảm), thời gian càng về sau thì khả năng rút tiền càng thấp.

Rất khó để bạn đánh giá xem vấn đề này là đúng hay sai. Từ góc độ hoạt động của thỏa thuận, một số nạn nhân đã bỏ trốn trước tiên bằng cách đào bể, chuyển nguy cơ nợ khó đòi do vụ hack gây ra cho chính thỏa thuận và những người dùng khác chưa bỏ trốn. Tình hình hiện tại của EraLend, với TVL (Chủ yếu là do người dùng của hai pool còn lại sẽ tiếp tục rút tiền), thỏa thuận thậm chí còn có nguy cơ mất khả năng thanh toán. Thảm họa có thể sắp xảy ra, lúc này người bị hại có cơ hội bù đắp tổn thất nên đương nhiên sẽ không bỏ lỡ.

Dù sao thì tôi cũng chạy trước như một sự tôn trọng.