Úvod
Dne 25. července 2023 oznámil výpůjční protokol EraLend založený na zkSync Era, že došlo k bezpečnostnímu incidentu. Po předběžném vyšetřování CertiK zjistil, že EraLend byl vystaven opakovanému útoku pouze pro čtení, což vedlo k celkové ztrátě přibližně 2,7 milionu $.
Shrnutí události
EraLend utrpěl reentrancy útok pouze pro čtení na hlavní síti zkSync. Útok provedla adresa 0xf1D 07. Útočník použil flash půjčky k ovládání cenového orákula EraLend. EraLend používá obchodní páry Syncswap jako cenová orákula, která má zranitelnost pouze pro čtení. Útočník je schopen zničit tokeny a provést zpětné volání před voláním _updateReserves, což způsobí, že orákulum vypočítá cenu na základě neaktualizovaných rezerv.
Kód pod útokem, zdroj Syncswap Github
Tým EraLend vydal prohlášení, v němž se uvádí, že "útok byl zadržen a útočníci již nejsou schopni pokračovat ve svých operacích. Rozsah dopadu se v současné době posuzuje a další oznámení budou učiněna později." USDC do EraLend v tuto chvíli.
Sledování majetku
CertiK vysledoval převod ukradených prostředků na více adres EOA (Externally Owned Address) kontrolovaných útočníky, včetně sítí Ethereum, Arbitrum a Optimism. Většina těchto prostředků byla konsolidována do čtyř peněženek v síti Ethereum.
Peněženky obsahující odcizené finanční prostředky
O reentrancy útokech
Údaje za rok 2020:
Celková ztráta: 62 936 849,00 $
Celkový počet reentrancy útoků: 6
Průměrná ztráta na útok (USD++++++++): 10, 489, 474,83 $
Údaje za rok 2021:
Celková ztráta: 67 924 596,28 $
Celkový počet reentrancy útoků: 7
Průměrná ztráta na útok (USD): 9 703 513,75 USD
Údaje za rok 2022:
Celková ztráta: 18 403 869,53 $
Celkový počet reentrancy útoků: 8
Průměrná ztráta na útok (USD): 2 300 483,69 USD
Údaje za rok 2023:
Celková ztráta: 14 121 542,00 $
Celkový počet reentrancy útoků: 7
Průměrná ztráta na útok (USD): 2 017 363,14 USD
Flash úvěrové útoky: rostoucí hrozba
V roce 2023 jsou bleskové úvěrové útoky v kryptoměnovém a blockchainovém prostoru stále znepokojivější. Letos došlo ke 128 incidentům ve srovnání se 101 útoky v roce 2022. Tyto útoky využívají zranitelnosti inteligentních smluv k maximalizaci zisku.
Flash půjčky umožňují uživatelům půjčit si velké množství peněz bez zajištění, ale musí půjčku splatit v rámci stejné transakce. Útočníci tuto funkci zneužili, což má za následek ztráty v celkové výši 255 milionů dolarů s průměrnou ztrátou přibližně 2 miliony dolarů na jeden incident.
V prvních třech červencových týdnech došlo k 22 útokům, které vedly ke ztrátě 8,5 milionu dolarů, ve srovnání s průměrem 18 útoků na flash půjčky za měsíc v roce 2023. Červenec a únor 2023 každý vytvořil rekord 22 útoků za měsíc. To zdůrazňuje důležitost porozumění rizikům DeFi a vytváření bezpečnějších chytrých kontraktů v kryptoměnovém prostoru. Pro bezpečnou navigaci v této nestálé říši je nutná ostražitost a opatrnost.
Výše ztrát z flashových úvěrových útoků v roce 2023 (podle měsíců)
Počet ztrát bleskových úvěrových útoků v roce 2023 (podle měsíce)
Shrnout
EraLend byl druhým největším reentrancy útokem CertiK v červenci, s celkovou ztrátou 6,4 milionu $ kvůli bleskovým půjčkám tento měsíc.
V červenci došlo zatím ke třem reentrancy útokům. Celkové ztráty z reentrancy útoků v červenci byly 6,4 milionu dolarů, s průměrnou ztrátou na útok 2,1 milionu dolarů. Od roku 2023 došlo k 7 reentrancy útokům s celkovými ztrátami přibližně 14,1 milionu $ a průměrnou ztrátou 2 miliony $ na útok. Stojí za zmínku, že letošní data pokrývají pouze červenec a od srpna do prosince zatím nebyly hlášeny žádné relevantní útoky nebo ztráty. Dosavadní celkové ztráty v roce 2023 mohou převýšit celkové ztráty v roce 2022 a mohou dokonce dosáhnout úrovně roku 2021, protože do konce zbývá ještě 5 měsíců.
Pochopení reentrancy útoků je zásadní pro každého, kdo je zapojen do blockchainu a prostoru DeFi, aby se zlepšily bezpečnostní postupy a předešlo se finančním ztrátám. Počet útoků na bleskové půjčky v roce 2023 ukazuje potřebu přísných bezpečnostních opatření a auditů třetích stran. Podívejte se na CertiK Skynet - Web 3 Security, Due Diligence a Insights, které vám pomohou porozumět bezpečnostním rizikům za projekty, kterých se chcete zúčastnit.