CertiK: Análisis del ataque al protocolo de préstamos zkSync EraLend

Introducción
El 25 de julio de 2023, EraLend, el protocolo de préstamos basado en zkSync Era, anunció que había ocurrido un incidente de seguridad. Después de una investigación preliminar, CertiK descubrió que EraLend estaba sujeto a un ataque de reentrada de solo lectura, lo que resultó en una pérdida total de aproximadamente 2,7 millones de dólares.
Resumen del evento
EraLend sufrió un ataque de reentrada de solo lectura en la red principal de zkSync. El ataque se realizó mediante la dirección 0xf1D 07. El atacante utilizó préstamos flash para controlar el oráculo de precios EraLend. EraLend utiliza pares comerciales Syncswap como oráculos de precios, que tiene una vulnerabilidad de reentrada de solo lectura. Un atacante puede destruir tokens y realizar una devolución de llamada antes de llamar a _updateReserves, lo que hace que Oracle calcule el precio en función de las reservas no actualizadas.
El código bajo ataque, fuente Syncswap Github
El equipo de EraLend emitió un comunicado diciendo que "el ataque ha sido contenido y los atacantes ya no pueden continuar con sus operaciones. Actualmente se está evaluando el alcance del impacto y se harán más anuncios más adelante. Se recomienda a los usuarios que no realicen depósitos". USDC a EraLend en este momento.
Seguimiento de activos
CertiK rastreó los fondos robados que se transfirieron a múltiples direcciones EOA (direcciones de propiedad externa) controladas por atacantes, que involucran las redes Ethereum, Arbitrum y Optimism. La mayoría de estos fondos se consolidaron en cuatro billeteras en la red Ethereum.
Carteras que contienen fondos robados
Acerca de los ataques de reentrada
Datos de 2020:
Pérdida total: $62, 936, 849.00
Total de ataques de reentrada: 6
Pérdida promedio por ataque (USD++++++++): $10, 489, 474.83
Datos de 2021:
Pérdida total: $67, 924, 596.28
Total de ataques de reentrada: 7
Pérdida media por ataque (USD): 9.703.513,75 dólares
Datos de 2022:
Pérdida total: $18, 403, 869.53
Ataques totales de reentrada: 8
Pérdida media por ataque (USD): 2.300.483,69 dólares
Datos de 2023:
Pérdida total: $14, 121, 542.00
Total de ataques de reentrada: 7
Pérdida media por ataque (USD): 2.017.363,14 dólares
Ataques de préstamos flash: una amenaza creciente
En 2023, los ataques a préstamos flash en el espacio de las criptomonedas y blockchain son cada vez más preocupantes. Este año ha habido 128 incidentes, frente a los 101 ataques de 2022. Estos ataques explotan las vulnerabilidades de los contratos inteligentes para maximizar las ganancias.
Los préstamos flash permiten a los usuarios pedir prestadas grandes cantidades de dinero sin garantía, pero deben reembolsar el préstamo en la misma transacción. Los atacantes han abusado de esta característica, lo que ha resultado en pérdidas por un total de 255 millones de dólares hasta la fecha, con una pérdida promedio de aproximadamente 2 millones de dólares por incidente.
En las primeras tres semanas de julio, ha habido 22 ataques que resultaron en pérdidas por 8,5 millones de dólares, en comparación con un promedio de 18 ataques de préstamos urgentes por mes en 2023. Julio y febrero de 2023 establecieron cada uno un récord de 22 ataques por mes. Esto resalta la importancia de comprender los riesgos de DeFi y crear contratos inteligentes más seguros en el espacio de las criptomonedas. La vigilancia y la precaución son necesarias para navegar con seguridad en este ámbito volátil.
Cantidad de pérdidas por ataques de préstamos flash en 2023 (por mes)
Número de pérdidas por ataques de préstamos flash en 2023 (por mes)
Resumir
EraLend fue el segundo mayor ataque de reentrada de CertiK en julio, con una pérdida total de 6,4 millones de dólares debido a los ataques de préstamos urgentes de este mes.
Hasta ahora, en julio se han producido tres ataques de reentrada. Las pérdidas totales por ataques de reentrada en julio fueron de 6,4 millones de dólares, con una pérdida promedio por ataque de 2,1 millones de dólares. Hasta 2023, se han producido 7 ataques de reentrada, con pérdidas totales de aproximadamente 14,1 millones de dólares y una pérdida promedio de 2 millones de dólares por ataque. Vale la pena señalar que los datos de este año solo cubren julio, y hasta el momento no se han reportado ataques o pérdidas relevantes de agosto a diciembre. Las pérdidas totales en 2023 hasta el momento pueden superar las pérdidas totales en 2022 e incluso pueden alcanzar los niveles de 2021, ya que todavía quedan 5 meses.
Comprender los ataques de reentrada es fundamental para que cualquier persona involucrada en el espacio blockchain y DeFi mejore las prácticas de seguridad y evite pérdidas financieras. La cantidad de ataques de préstamos flash en 2023 demuestra la necesidad de fuertes medidas de seguridad y auditorías de terceros. Consulte CertiK Skynet: seguridad web 3, debida diligencia e información para ayudarle a comprender los riesgos de seguridad detrás de los proyectos en los que desea participar.