CertiK: zkSync 融資プロトコル EraLend に対する攻撃の分析

導入
2023 年 7 月 25 日、zkSync Era ベースの融資プロトコル EraLend は、セキュリティ インシデントが発生したと発表しました。予備調査の結果、CertiK は、EraLend が読み取り専用の再入攻撃を受け、その結果、合計約 270 万ドルの損失が発生したことを発見しました。
事件概要
EraLend は、zkSync メインネットで読み取り専用の再入攻撃を受けました。この攻撃はアドレス 0xf1D 07 によって実行されました。攻撃者はフラッシュ ローンを使用して EraLend 価格オラクルを制御しました。 EraLend は Syncswap 取引ペアを価格オラクルとして使用しますが、これには読み取り専用の再入可能性の脆弱性があります。攻撃者はトークンを破棄し、_updateReserves が呼び出される前にコールバックを実行して、オラクルに未更新の予約に基づいて価格を計算させることができます。
攻撃を受けているコード、出典 Syncswap Github
EraLendチームは声明を発表し、「攻撃は阻止され、攻撃者は活動を継続することができなくなった。影響範囲は現在評価中であり、詳細は追って発表される予定だ」と述べた。現時点では USDC から EraLend へ。
資産追跡
CertiKは、イーサリアム、アービトラム、オプティミズムのネットワークが関与し、攻撃者が管理する複数のEOA（外部所有アドレス）アドレスに盗まれた資金が転送されている様子を追跡した。これらの資金の大部分は、イーサリアム ネットワーク上の 4 つのウォレットに統合されました。
盗まれた資金が入った財布
リエントランシー攻撃について
2020年のデータ:
合計損失: $62,936,849.00
リエントラント攻撃の合計: 6
攻撃あたりの平均損失 (USD++++++++): 10,489,474.83 ドル
2021年のデータ:
合計損失: 67,924,596.28ドル
リエントランシー攻撃の合計: 7
攻撃ごとの平均損失 (USD): 9,703,513.75 ドル
2022 年のデータ:
合計損失: 18,403,869.53ドル
リエントランシー攻撃の合計: 8
攻撃ごとの平均損失 (USD): 2,300,483.69 ドル
2023 年のデータ:
合計損失: $14, 121, 542.00
リエントランシー攻撃の合計: 7
攻撃ごとの平均損失 (USD): 2,017,363.14 ドル
フラッシュローン攻撃: 増大する脅威
2023 年、仮想通貨とブロックチェーン分野におけるフラッシュ ローン攻撃の懸念がますます高まっています。 2022 年の攻撃件数は 101 件だったのに対し、今年は 128 件の事件が発生しました。これらの攻撃は、利益を最大化するためにスマート コントラクトの脆弱性を悪用します。
フラッシュ ローンを使用すると、ユーザーは担保なしで多額のお金を借りることができますが、同じ取引内でローンを返済する必要があります。攻撃者はこの機能を悪用し、これまでに総額 2 億 5,500 万ドルの損失が発生しており、1 件あたりの平均損失は約 200 万ドルとなっています。
7 月の最初の 3 週間で 22 件の攻撃が発生し、850 万ドルの損失が発生しました。これに対し、2023 年のフラッシュ ローン攻撃は月平均 18 件でした。 2023 年 7 月と 2 月には、それぞれ月あたり 22 件の攻撃という記録が樹立されました。これは、DeFi リスクを理解し、暗号通貨分野でより安全なスマート コントラクトを構築することの重要性を強調しています。この不安定な領域を安全に航行するには、警戒と予防措置が必要です。
2023年のフラッシュローン攻撃による被害額（月別）
2023 年のフラッシュ ローン攻撃による被害件数 (月別)
要約する
EraLend は、7 月における CertiK の 2 番目に大規模なリエントラント攻撃であり、今月のフラッシュ ローン攻撃により総額 640 万ドルの損失が発生しました。
これまでのところ、7 月に 3 件のリエントラント攻撃が発生しています。 7 月のリエントランシー攻撃による損失総額は 640 万ドルで、攻撃ごとの平均損失は 210 万ドルでした。 2023 年の時点で、7 件のリエントラント攻撃が発生しており、損失総額は約 1,410 万ドル、攻撃 1 件あたりの平均損失は 200 万ドルです。今年のデータは 7 月のみを対象としており、これまでのところ 8 月から 12 月にかけて関連する攻撃や損失は報告されていないことは注目に値します。これまでのところ、2023 年の損失総額は 2022 年の損失総額を超える可能性があり、まだ 5 か月あるため、2021 年の水準に達する可能性さえあります。
リエントランシー攻撃を理解することは、ブロックチェーンと DeFi 分野に携わるすべての人にとって、セキュリティ慣行を強化し、経済的損失を防ぐために非常に重要です。 2023 年のフラッシュ ローン攻撃の件数は、強力なセキュリティ対策と第三者による監査の必要性を示しています。 CertiK Skype - Web 3 のセキュリティ、デュー デリジェンス、洞察をチェックして、参加したいプロジェクトの背後にあるセキュリティ リスクを理解するのに役立ちます。