以太坊 zkSync 上的借贷协议 EraLend 遭受「重入攻击」漏洞利用，损失 340 万美元。该团队已证实，并表示情况已得到控制。他们建议用户暂时不要存入 $USDC，并暂停所有借贷服务。近半年 Zksync 生态的蓬勃发展，也因而成为骇客攻击的目标。

EraLend 遭受严重攻击

攻击源于漏洞利用

据区块链资安公司 CertiK 公告，以太坊 zkSync 上最大的借贷协议 EraLend，在昨日遭受一起造成 340 万美元损失的攻击事件，起因于一个有关「重入攻击 (Read-only Reentrancy Attack)」的漏洞利用。

安全分析师 Spreek 于推特上指出，骇客利用外部帐户在两次交易中掏空资金。其在单笔交易中重复调用特定函数，中断原先多步骤的验证流程；使合约在还未更新的状况下，持续重复执行恶意操作，借以提出超过其权限范围的资金。

据悉，该漏洞难以被审计员察觉，须定期升级智能合约，才能尽量降低该攻击成功的可能性。

Certik 声称，因 EraLend 与 Syncswap 的程式关联性，其他与 Syncswap 有关的专案也可能具有此漏洞，容易受到攻击。

DefiLlama 资料显示，其总锁仓价值 (TVL) 在近一天内下降超过 73%，仅剩 500 万美元，营运状况陷入危机。

开发团队后续处理

EraLend 团队在受到攻击后不久，于其 Discord 中发布声明：

我们已经调查并确认了 EraLend 此次的攻击事件，同时向用户保证情况已在掌控中，骇客已无法继续进行攻击。

并补充说明，目前只有 USDC 池受到攻击，其余资产皆安全无虞。作为预防措施，团队也建议用户暂时不要存入 $USDC，同时该平台已暂停了所有借贷服务。

什么是 EraLend？

EraLend 是以太坊网络上基于 zksync，也就是零知识证明的 L2 借贷协议。旨在利用其不依赖外部流动性而达到低风险的特色，简化用户体验并提高其资本利用效率。

DeFi 生态上半年的蓬勃发展，也同时带动 zksync 的爆炸式增长，该网路的 TVL 在上周更突破史无前例的 1.95 亿美元，仍在持续成长中，庞大资金也因而成为骇客眼中的待宰肥羊。

本文链接地址：https://www.wwsww.cn/DeFi/20326.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。