CertiK: 공격받는 zkSync 대출 프로토콜 EraLend 분석

avatar
CertiK
1년 전
이 글은 약 1015자,전문을 읽는 데 약 2분이 걸린다
2023년 7월 25일, zkSync Era 기반 대출 프로토콜 EraLend는 보안 사고를 발표했습니다. 초기 조사 후 CertiK는 EraLend가 읽기 전용 재진입 공격을 받아 약 270만 달러의 총 손실을 입었다는 사실을 발견했습니다.

소개

소개

2023년 7월 25일, zkSync Era 기반 대출 프로토콜 EraLend는 보안 사고를 발표했습니다. 초기 조사 후 CertiK는 EraLend가 읽기 전용 재진입 공격을 받아 약 270만 달러의 총 손실을 입었다는 사실을 발견했습니다.

이벤트 요약

CertiK: 공격받는 zkSync 대출 프로토콜 EraLend 분석

EraLend는 zkSync 메인넷에서 읽기 전용 재진입 공격을 받았습니다. 공격은 주소 0xf1D 07에서 이루어졌으며, 공격자는 플래시론을 이용해 EraLend 가격 오라클을 조작했습니다. EraLend는 읽기 전용 및 재진입 취약점이 있는 Syncswap 거래 쌍을 가격 오라클로 사용합니다. 공격자는 _updateReserves가 호출되기 전에 토큰을 소각하고 콜백을 수행하여 오라클이 업데이트되지 않은 보유량을 기준으로 가격을 계산하도록 할 수 있습니다.

공격받고 있는 코드, 소스 Syncswap Github

EraLend 팀은 공격이 억제되었으며 공격자는 더 이상 작전을 계속할 수 없습니다. 영향의 범위는 현재 평가 중이며 추후 추가 발표가 있을 것입니다.라는 성명을 발표했습니다. 현재 USDC에서 EraLend로 전환됩니다.

자산 추적

CertiK: 공격받는 zkSync 대출 프로토콜 EraLend 분석

이미지 설명

도난당한 자금이 들어있는 지갑

첫 번째 수준 제목

재진입 공격에 대해

2020년 데이터:

총 손실 금액: $62, 936, 849.00

총 재진입 공격: 6

공격당 평균 손실(USD++++++++): $10, 489, 474.83

2021년 데이터:

총 손실액 : $ 67, 924, 596.28

총 재진입 공격: 7

공격당 평균 손실(USD): $9,703,513.75

2022년 수치:

총 손실 금액: $18,403,869.53

총 재진입 공격: 8

공격당 평균 손실(USD): $2,300,483.69

2023년 수치:

총 재진입 공격: 7

공격당 평균 손실(USD): $2,017,363.14

첫 번째 수준 제목

플래시론 공격: 점점 커지는 위협

플래시론은 담보 없이 큰 금액을 빌릴 수 있지만 동일한 거래 내에서 대출금을 상환해야 하는 방식이다. 공격자들은 이 기능을 악용하여 현재까지 총 2억 5,500만 달러의 손실을 입혔으며, 사고당 평균 약 200만 달러의 손실이 발생했습니다.

CertiK: 공격받는 zkSync 대출 프로토콜 EraLend 분석

이미지 설명

CertiK: 공격받는 zkSync 대출 프로토콜 EraLend 분석

2023년 플래시론 공격 손실 건수(월별)

요약하다

첫 번째 수준 제목

요약하다

EraLend는 7월에 발생한 CertiK의 두 번째로 큰 재진입 공격으로, 이번 달 플래시 대출 공격으로 인해 총 640만 달러의 손실이 발생했습니다.7월에는 지금까지 3번의 재진입 공격이 발생했습니다. 7월 재진입 공격으로 인한 총 손실은 640만 달러였으며, 공격당 평균 비용은 210만 달러였습니다. 2023년 기준으로 재진입 공격은 7건이 발생해 총 손실액은 약 1,410만 달러, 공격당 평균 200만 달러에 이른다. 참고로 올해 데이터는 7월만 집계되었으며, 8월부터 12월까지 아직까지 관련 공격이나 피해가 보고되지 않았다는 점에 주목할 필요가 있습니다. 현재까지 2023년 총 손실은 2022년 총 손실을 초과할 수 있으며 아직 5개월이 남았기 때문에 2021년 수준에 도달할 수도 있습니다.재진입 공격을 이해하는 것은 보안 관행을 강화하고 재정적 손실을 방지하기 위해 블록체인 및 DeFi 공간에 손을 대는 모든 사람에게 중요합니다. 2023년 플래시 대출 공격 건수는 강력한 보안 조치와 제3자 감사의 필요성을 보여줍니다. 확인해주십시오

창작 글, 작자:CertiK。전재 / 콘텐츠 제휴 / 기사 요청 연락처 report@odaily.email;违규정 전재 법률은 반드시 추궁해야 한다.

ODAILY는 많은 독자들이 정확한 화폐 관념과 투자 이념을 수립하고 블록체인을 이성적으로 바라보며 위험 의식을 확실하게 제고해 달라고 당부했다.발견된 위법 범죄 단서에 대해서는 관련 부서에 적극적으로 고발하여 반영할 수 있다.

추천 독서
편집자의 선택