導入
導入
2023 年 7 月 25 日、zkSync Era ベースの融資プロトコル EraLend がセキュリティ インシデントを発表しました。初期調査の結果、CertiK は、EraLend が読み取り専用リエントラント攻撃を受け、その結果、合計約 270 万ドルの損失が発生したことを発見しました。
イベント概要
EraLend は、zkSync メインネットに対して読み取り専用のリエントラント攻撃を受けました。攻撃はアドレス 0xf1D 07 によって実行され、攻撃者はフラッシュ ローンを使用して EraLend 価格オラクルを操作しました。 EraLend は Syncswap 取引ペアを価格オラクルとして使用しますが、これには読み取り専用でリエントラントな脆弱性があります。攻撃者は、_updateReserves が呼び出される前にトークンを焼き付けてコールバックを実行し、オラクルに更新されていない予約に基づいて価格を計算させることができます。
攻撃を受けているコード、ソース Syncswap Github
EraLendチームは声明を発表し、「攻撃は阻止され、攻撃者は活動を継続することができなくなった。影響範囲は現在評価中であり、詳細は追って発表される」と述べた。現時点では USDC から EraLend へ。
資産管理
画像の説明
盗まれた資金が入った財布
最初のレベルのタイトル
リエントラント攻撃について
2020年のデータ:
損失総額: $62,936,849.00
リエントランシー攻撃の合計: 6
攻撃あたりの平均損失 (USD++++++++): 10,489,474.83 ドル
2021年のデータ:
損失総額:67,924,596.28ドル
リエントランシー攻撃の合計: 7
攻撃ごとの平均損失 (USD): 9,703,513.75 ドル
2022 年の数字:
損失総額: 18,403,869.53ドル
リエントランシー攻撃の合計: 8
攻撃ごとの平均損失 (USD): 2,300,483.69 ドル
2023 年の数字:
リエントランシー攻撃の合計: 7
攻撃ごとの平均損失 (USD): 2,017,363.14 ドル
最初のレベルのタイトル
フラッシュローン攻撃: 増大する脅威
フラッシュ ローンを使用すると、ユーザーは担保なしで多額のお金を借りることができますが、同じ取引内でローンを返済する必要があります。攻撃者はこの機能を悪用し、これまでに合計 2 億 5,500 万ドルの損失が発生しており、1 件あたりの平均損失は約 200 万ドルとなっています。
画像の説明
2023 年のフラッシュ ローン攻撃による被害件数 (月別)
要約する
最初のレベルのタイトル
要約する
EraLend は 7 月における CertiK の 2 番目に大規模なリエントラント攻撃であり、今月のフラッシュ ローン攻撃により総額 640 万ドルが失われました。7 月にはこれまでに 3 回の再入攻撃が発生しています。 7 月のリエントランシー攻撃による損失総額は 640 万ドルで、攻撃ごとの平均コストは 210 万ドルでした。 2023 年の時点で、7 件のリエントラント攻撃が発生し、損失総額は約 1,410 万ドル、攻撃 1 件あたり平均 200 万ドルに達しています。今年のデータは7月のみを対象としており、これまでのところ8月から12月にかけて関連する攻撃や損失は報告されていないことは注目に値する。まだ 5 か月あるため、これまでのところ 2023 年の損失総額は 2022 年の損失総額を超える可能性があり、さらには 2021 年の水準に達する可能性もあります。リエントランシー攻撃を理解することは、ブロックチェーンと DeFi 分野に手を出している人にとって、セキュリティ慣行を強化し、経済的損失を防ぐために非常に重要です。 2023 年のフラッシュ ローン攻撃の件数は、強力なセキュリティ対策と第三者による監査の必要性を示しています。チェックしてください