zkSync 借貸協議 EraLend 於 25 日遭駭客攻擊,損失金額高達 340 萬美金,官方於昨日在推特發布致駭客的一封信,表示若駭客願意歸還資金,願意給予 10% 的白帽賞金,否則會交由執法機構追補。值得一提的是,Eralend 的 TVL 已暴跌 1,500 萬美金,跌幅達 80%。
(前情提要:讀懂zkSync Boojum升級:更安全更高效的zkEVM )
(背景補充:zkSync生態出包》DEX Merlin 遭駭 180 萬鎂!才剛完成審計、開啟公募 )
以太坊 Layer2 項目 zkSync 的龍頭借貸協議 EraLend 於本月 25 日遭駭客攻擊,據資安公司 Certik 指出,駭客利用程式碼漏洞進行「重入攻擊(read only reentrancy),預估損失金額高達 340 萬美金。
We are seeing reports that @Era_Lend has been exploited on zkSync
Total losses appear to be $3.4 million in a read only reentrancy attack
See more below 👇https://t.co/h8xrjccE5i
— CertiK Alert (@CertiKAlert) July 25, 2023
EraLend 遭駭客攻擊,TVL 暴跌近 1,500 萬鎂
據 PeckSheild 對駭客攻擊事件的說明,主因是程式碼的漏洞而引發重入攻擊,駭客可以重複調用特定函數來盜取資金。
對此,Eralend 在遭到駭客攻擊後不久,於當天在 DC 群發公告表示:
我們向您保證,攻擊已經得到遏止,駭客無法再繼續行動。
目前正在評估影響範圍,將會進一步公布。
作為預防措施,我們已經停止了所有借貸業務,以確保資金安全。
同時 Eralend 也特別提醒,只有 USDC 受到此駭客事件影響,其他資產是安全的,並強烈建議用戶在這段期間不要存入 USDC。
值得注意的是,據 DefiLlama 數據顯示,Eralend 在駭客攻擊前的 TVL 高達 1851 萬美金,如今已跌至 359 萬鎂,跌幅高達 80%。
Eralend:駭客若願意還錢,可以獲得 10% 白帽賞金
事發一天後,Eralend 於昨(26)日晚間於推特發布致駭客的一封信,內文提到駭客原本可以在這次事件中耗盡所有流動性,卻選擇僅利用一部分,Eraland 將此解釋為對受害者的善意和擔心事件的影響範圍擴大,不過這仍然是非法行為,而且波及 50 萬個 Eralend 用戶和 DeFi 社群。
對此,Eralend 於信中表示,正與安全專業人士、CEX、DeFi 安全社群以及執法機構進行合作,追蹤駭客在攻擊前後留下的鏈上和鏈下紀錄,並在信的最後一段給出建議,Eralend 提到:
在 7 月 27 日(UTC)14:00 之前將 90%的資金歸還到以下地址,我們將停止追捕你。
你可以保留被盜資金的 10% 作為白帽賞金,接收錢包地址是:
0x9eEE479DCf6075a0cb905c27e8F952910c3bb69D
如果在截止日期前未歸還資金,我們將別無選擇,只能將此事升級。交易將被終止,我們將立即為任何幫助我們起訴您並追回被盜資金的個人或組織設置另一筆賞金。
A letter to the exploiter:
We are aware that you could have drained all available liquidity during yesterday's breach, yet chose to exploit only a portion. We interpret this as an expression of your ‘goodwill’ or potential concern for the victims or wider impact of such a severe…
— EraLend | The #1 Money Market on zkSync🥇 (@Era_Lend) July 26, 2023
zkSync Era 生態頻頻出包,社群信心出現動搖
值得注意的是,zkSync Era 的生態項目頻頻出包,社群對項目的信心也開始出現動搖;據動區先前報導,DEX 協議 Merlin 於今年 4 月底遭駭 180 萬美元,究其原因是團隊內部人員濫用所有者錢包的權限,Rug pull 所有用戶。
延伸閱讀:Certik不背鍋:確定是Merlin「官方Rug Pull」!但200萬鎂補償恐跳票
今日份一句话X文:
撸zksync还不如撸jb #zkSync #zkSyncEra #Airdrop pic.twitter.com/cTveWlbtFt
— 桀 (@LTChives) July 27, 2023
更早之前,zkSync Era 在上線僅僅不到兩週時間,因爲技術問題,旗下生態項目籌集的 921 枚 ETH 竟然卡在合約中無法領出,讓許多用戶從原本的期待轉而出現負面情緒。
延伸閱讀:zkSync Era出包》921 ETH卡合約無法領!團隊承認:部分函數非EVM等效
總體而言,zkSync Era 仍然還處較早發展階段,生態項目相對不穩定,因此動區也特別提醒投資人在交互項目前先做好 DYOR,同時也建議別放過多資金在初期項目上。
📍相關報導📍
哪家zk-EVM更強?實測合約開發Taiko、Polygon、Linea、Scroll、zkSync Era..
