EraLend 损失270万美元，重入攻击近年数量增长几何？

在2023年7月25日，zkSync Era-based借贷协议EraLend宣布发生了一起安全事件。在初步调查后，CertiK发现EraLend遭到了只读可重入攻击，导致总损失约270万美元。

事件概要EraLend在ZkSync主网上遭到了只读可重入攻击。该攻击由地址0xf1D07执行，攻击者利用了闪电贷去操控EraLend价格预言机。EraLend使用Syncswap交易对作为价格预言机，其中存在只读可重入漏洞。攻击者能够销毁代币，并在_updateReserves被调用之前进行回调，从而预言机的价格是基于了未更新的储备计算价格。受到攻击的代码 来源：Syncswap Github
EraLend团队发布了一份声明，称“攻击已经得到控制，攻击者不再能够继续他们的行动。目前正在评估影响的范围，之后将进一步公布细节。”并建议用户目前不要向EraLend存入USDC。
资产追踪CertiK追踪到被盗资金被转移到多个由攻击者控制的EOA（Externally Owned Address）地址上，涉及以太坊、Arbitrum和Optimism网络。其中大部分资金被整合到以太坊网络的四个钱包中。

含有被盗资金的钱包

重入攻击年度数字2020年数据：

• • 总损失金额：$62,936,849
  • 总重入攻击次数：6
  • 平均每次攻击损失金额：$10,489,475

2021年数据：

• • 总损失金额：$67,924,596
  • 总重入攻击次数：7
  • 平均每次攻击损失金额：$9,703,514

2022年数据：

• • 总损失金额：$18,403,870
  • 总重入攻击次数：8
  • 平均每次攻击损失金额：$2,300,484

2023年数据（截止到现在）：

• • 总损失金额：$14,121,542
  • 总重入攻击次数：7
  • 平均每次攻击损失金额：$2,017,363

闪电贷攻击：日益增长的威胁在2023年，区块链领域的闪电贷攻击日益令人担忧。与2022年的101起攻击相比，今年已经发生了128起事件。
闪电贷允许用户在无抵押品的情况下借取大额资金，但必须在同一笔交易内还清贷款。攻击者滥用了这一特性，导致迄今为止总计2.55亿美元的损失，平均每起事件损失约为200万美元。在7月的头三周内，已经发生了22起攻击，导致损失850万美元，而2023年每月平均闪电贷攻击为18起。7月和2023年2月各自创下了每月22起攻击的记录。这凸显了理解DeFi风险和在Web3.0领域构建更安全的智能合约的重要性。警惕和预防是在这个领域中安全航行的必要条件。2023年闪电贷攻击损失金额（按月度）2023年闪电贷攻击损失数量（按月度）
写在最后EraLend是CertiK在7月监测到的第二大可重入攻击事件，本月由于闪电贷攻击共损失640万美元。到目前为止，7月份已经发生了3次可重入攻击。7月份可重入攻击的总损失为640万美元，平均每次攻击损失210万美元。2023年至今，已经发生了7次可重入攻击，总损失约为1410万美元，平均每次攻击损失200万美元。值得注意的是，今年的数据至今仅统计到7月份，截至目前尚未列入8月至12月有关的攻击或损失。因此这样来看，2023年的总损失可能超过2022年的总损失，甚至可能达到2021年的水平。2023年闪电贷攻击的数量证明了Web3.0领域对强大的安全措施和第三方审计的需求。欢迎点击“阅读原文”查看CertiK Skynet安全尽职调查网站，帮助您了解您希望参与的项目背后的安全风险。