zkSync 借贷协议 EraLend 於 25 日遭骇客攻击,损失金额高达 340 万美金,官方於昨日在推特发布致骇客的一封信,表示若骇客愿意归还资金,愿意给予 10% 的白帽赏金,否则会交由执法机构追补。值得一提的是,Eralend 的 TVL 已暴跌 1,500 万美金,跌幅达 80%。
(前情提要:读懂zkSync Boojum升级:更安全更高效的zkEVM )
(背景补充:zkSync生态出包》DEX Merlin 遭骇 180 万镁!才刚完成审计、开启公募 )
本文目录
以太坊 Layer2 项目 zkSync 的龙头借贷协议 EraLend 於本月 25 日遭骇客攻击,据资安公司 Certik 指出,骇客利用程式码漏洞进行「重入攻击(read only reentrancy),预估损失金额高达 340 万美金。
#CertiKSkynetAlert🚨
We are seeing reports that @Era_Lend has been exploited on zkSync
Total losses appear to be $3.4 million in a read only reentrancy attack
See more below 👇https://t.co/h8xrjccE5i
— CertiK Alert (@CertiKAlert) July 25, 2023
EraLend 遭骇客攻击,TVL 暴跌近 1,500 万镁
据 PeckSheild 对骇客攻击事件的说明,主因是程式码的漏洞而引发重入攻击,骇客可以重复调用特定函数来盗取资金。
对此,Eralend 在遭到骇客攻击後不久,於当天在 DC 群发公告表示:
我们向您保证,攻击已经得到遏止,骇客无法再继续行动。
目前正在评估影响范围,将会进一步公布。
作为预防措施,我们已经停止了所有借贷业务,以确保资金安全。
同时 Eralend 也特别提醒,只有 USDC 受到此骇客事件影响,其他资产是安全的,并强烈建议用户在这段期间不要存入 USDC。
值得注意的是,据 DefiLlama 数据显示,Eralend 在骇客攻击前的 TVL 高达 1851 万美金,如今已跌至 359 万镁,跌幅高达 80%。
Eralend:骇客若愿意还钱,可以获得 10% 白帽赏金
事发一天後,Eralend 於昨(26)日晚间於推特发布致骇客的一封信,内文提到骇客原本可以在这次事件中耗尽所有流动性,却选择仅利用一部分,Eraland 将此解释为对受害者的善意和担心事件的影响范围扩大,不过这仍然是非法行为,而且波及 50 万个 Eralend 用户和 DeFi 社群。
对此,Eralend 於信中表示,正与安全专业人士、CEX、DeFi 安全社群以及执法机构进行合作,追踪骇客在攻击前後留下的链上和链下纪录,并在信的最後一段给出建议,Eralend 提到:
在 7 月 27 日(UTC)14:00 之前将 90%的资金归还到以下地址,我们将停止追捕你。
你可以保留被盗资金的 10% 作为白帽赏金,接收钱包地址是:
0x9eEE479DCf6075a0cb905c27e8F952910c3bb69D
如果在截止日期前未归还资金,我们将别无选择,只能将此事升级。交易将被终止,我们将立即为任何帮助我们起诉您并追回被盗资金的个人或组织设置另一笔赏金。
A letter to the exploiter:
We are aware that you could have drained all available liquidity during yesterday's breach, yet chose to exploit only a portion. We interpret this as an expression of your ‘goodwill’ or potential concern for the victims or wider impact of such a severe…
— EraLend | The #1 Money Market on zkSync🥇 (@Era_Lend) July 26, 2023
zkSync Era 生态频频出包,社群信心出现动摇
值得注意的是,zkSync Era 的生态项目频频出包,社群对项目的信心也开始出现动摇;据动区先前报导,DEX 协议 Merlin 於今年 4 月底遭骇 180 万美元,究其原因是团队内部人员滥用所有者钱包的权限,Rug pull 所有用户。
延伸阅读:Certik不背锅:确定是Merlin「官方Rug Pull」!但200万镁补偿恐跳票
今日份一句话X文:
撸zksync还不如撸jb #zkSync #zkSyncEra #Airdrop pic.twitter.com/cTveWlbtFt
— 桀 (@LTChives) July 27, 2023
更早之前,zkSync Era 在上线仅仅不到两周时间,因爲技术问题,旗下生态项目筹集的 921 枚 ETH 竟然卡在合约中无法领出,让许多用户从原本的期待转而出现负面情绪。
延伸阅读:zkSync Era出包》921 ETH卡合约无法领!团队承认:部分函数非EVM等效
总体而言,zkSync Era 仍然还处较早发展阶段,生态项目相对不稳定,因此动区也特别提醒投资人在交互项目前先做好 DYOR,同时也建议别放过多资金在初期项目上。
📍相关报导📍
哪家zk-EVM更强?实测合约开发Taiko、Polygon、Linea、Scroll、zkSync Era..
zkSync Era「随机空投」1万个NFT!地址多为0x0开头,有正式解释了
zkSync Era 跃升第三大以太坊 Layer2 ,是泡沫还是真创新?