Era Lend,一个在zkSync Layer 2上运行的去中心化借贷协议,成为了最新的重入攻击受害者,损失达340万美元,这一消息得到了BlockSec的安全分析师的确认。
此次攻击利用了一个只读重入漏洞,使黑客能够在单个交易中重复调用一个函数,提取超过他们应得的资金。攻击者利用Era Lend所依赖的一个有缺陷的价格预言机,通过重入漏洞进一步从协议中抽取资产。
通常,被标记为只读的视图函数被认为是安全的,因为它们不改变合约的状态,往往缺乏重入保护。“只读”一词表明该函数仅执行视图操作,例如根据第三方池的供应计算代币余额。在此事件中,第三方是另一个名为SyncSwap的去中心化交易所。然而,正如本案例所示,这些函数可以被操纵以 siphon 大量资金。
“攻击者在SyncSwap的销毁/铸造操作期间改变了LP的价格,利用其储备来确定[在Era Lend上的] LP价格,”BlockSec的联合创始人兼CTO吴雷告诉The Block。“所有使用SyncSwap代码的项目都应该保持警惕。”
“我们已检测并确认我们的平台遭受了网络攻击。我们想向您保证,攻击已被遏制,威胁行为者无法继续其行动,”Era Lend在Discord上的声明中表示。
它澄清说,只有USDC池受到影响,而USDC以外的资产安全完好。
作为预防措施,团队建议用户暂时不要存入USDC。此外,团队补充说,平台上的借贷操作已暂时停止。
© 2025 The Block. 保留所有权利。本文仅供信息参考。并不提供或意图作为法律、税务、投资、金融或其他建议。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
