CertiK: Análise do ataque ao protocolo de empréstimo zkSync EraLend

Introdução
Em 25 de julho de 2023, o protocolo de empréstimo baseado na Era zkSync, EraLend, anunciou que ocorreu um incidente de segurança. Após uma investigação preliminar, a CertiK descobriu que o EraLend estava sujeito a um ataque de reentrada somente leitura, resultando em uma perda total de aproximadamente US$ 2,7 milhões.
Resumo do caso
EraLend sofreu um ataque de reentrada somente leitura na rede principal zkSync. O ataque foi realizado pelo endereço 0xf1D 07. O invasor usou empréstimos instantâneos para controlar o oráculo de preços EraLend. EraLend usa pares de negociação Syncswap como oráculos de preços, que possuem uma vulnerabilidade de reentrada somente leitura. Um invasor é capaz de destruir tokens e fazer um retorno de chamada antes de _updateReserves ser chamado, fazendo com que o oráculo calcule o preço com base nas reservas não atualizadas.
O código sob ataque, originado do Syncswap Github
A equipe EraLend divulgou uma declaração dizendo que "o ataque foi contido e os invasores não podem mais continuar suas ações. O escopo do impacto está sendo avaliado atualmente e mais anúncios serão feitos posteriormente." Os usuários são aconselhados a não depositar USDC no EraLend neste momento.
Rastreamento de ativos
A CertiK rastreou os fundos roubados até vários endereços EOA (Externally Owned Address) controlados pelo invasor, envolvendo as redes Ethereum, Arbitrum e Optimism. A maioria dos fundos foi consolidada em quatro carteiras na rede Ethereum.
Carteiras contendo fundos roubados
Sobre ataques de reentrada
Dados de 2020:
Valor total da perda: $ 62.936.849,00
Total de ataques de reentrada: 6
Perda média por ataque (USD++++++++): $ 10.489.474,83
Dados de 2021:
Valor total da perda: $ 67.924.596,28
Ataques de reentrada total: 7
Perda média por ataque (USD): $ 9.703.513,75
Dados de 2022:
Valor total da perda: $ 18.403.869,53
Total de ataques de reentrada: 8
Perda média por ataque (USD): $ 2.300.483,69
Dados de 2023:
Valor total da perda: $ 14.121.542,00
Ataques de reentrada total: 7
Perda média por ataque (USD): $ 2.017.363,14
Ataques de empréstimos relâmpago: uma ameaça crescente
Em 2023, ataques de empréstimos rápidos no setor de criptomoedas e blockchain estão se tornando uma preocupação crescente. Houve 128 incidentes neste ano, em comparação com 101 ataques em 2022. Esses ataques exploram vulnerabilidades em contratos inteligentes para maximizar os lucros.
Os empréstimos rápidos permitem que os usuários tomem emprestado grandes quantias de dinheiro sem garantia, mas devem pagar o empréstimo na mesma transação. Os invasores abusaram desse recurso, resultando em perdas totalizando US$ 255 milhões até o momento, com uma perda média de aproximadamente US$ 2 milhões por incidente.
Nas primeiras três semanas de julho, ocorreram 22 ataques, resultando em perdas de US$ 8,5 milhões, enquanto a média de ataques a empréstimos rápidos por mês em 2023 é de 18. Julho e fevereiro de 2023 estabeleceram recordes de 22 ataques por mês. Isso destaca a importância de entender os riscos do DeFi e criar contratos inteligentes mais seguros no espaço das criptomoedas. Vigilância e prevenção são necessárias para navegar com segurança neste cenário volátil.
Perdas de ataque de empréstimo relâmpago em 2023 (por mês)
Perdas de ataque de empréstimo relâmpago em 2023 (por mês)
Resumir
O EraLend foi o segundo maior ataque de reentrada da CertiK em julho, com uma perda total de US$ 6,4 milhões devido a ataques de empréstimos rápidos neste mês.
Até agora, houve três ataques de reentrada em julho. As perdas totais dos ataques de reentrada em julho foram de US$ 6,4 milhões, com uma perda média de US$ 2,1 milhões por ataque. Até 2023, houve 7 ataques de reentrada com uma perda total de aproximadamente US$ 14,1 milhões, ou uma perda média de US$ 2 milhões por ataque. Vale ressaltar que os dados deste ano são contabilizados apenas até julho, e nenhum ataque ou perda relacionada foi relatado de agosto a dezembro até agora. As perdas totais de 2023 até agora provavelmente excederão as de 2022 e podem até atingir os níveis de 2021, pois ainda faltam 5 meses.
Entender os ataques de reentrada é essencial para qualquer pessoa envolvida no espaço blockchain e DeFi para aprimorar as práticas de segurança e evitar perdas financeiras. O número de ataques de empréstimos rápidos em 2023 demonstra a necessidade de fortes medidas de segurança e auditorias de terceiros. Confira o CertiK Skynet - Segurança Web 3, Due Diligence e Insights para ajudar você a entender os riscos de segurança por trás dos projetos dos quais deseja participar.