zkSync借貸龍頭EraLend遭漏洞利用攻擊，損失逾340萬美元

以太坊 zkSync 上的借貸協議 EraLend 遭受「重入攻擊」漏洞利用，損失 340 萬美元。該團隊已證實，並表示情況已得到控制。他們建議用戶暫時不要存入 $USDC，並暫停所有借貸服務。近半年 Zksync 生態的蓬勃發展，也因而成為駭客攻擊的目標。

EraLend 遭受嚴重攻擊

攻擊源於漏洞利用

據區塊鏈資安公司 CertiK 公告，以太坊 zkSync 上最大的借貸協議 EraLend，在昨日遭受一起造成 340 萬美元損失的攻擊事件，起因於一個有關「重入攻擊 (Read-only Reentrancy Attack)」的漏洞利用。

安全分析師 Spreek 於推特上指出，駭客利用外部帳戶在兩次交易中掏空資金。其在單筆交易中重複調用特定函數，中斷原先多步驟的驗證流程；使合約在還未更新的狀況下，持續重複執行惡意操作，藉以提出超過其權限範圍的資金。

據悉，該漏洞難以被審計員察覺，須定期升級智能合約，才能盡量降低該攻擊成功的可能性。

Certik 聲稱，因 EraLend 與 Syncswap 的程式關聯性，其他與 Syncswap 有關的專案也可能具有此漏洞，容易受到攻擊。

DefiLlama 資料顯示，其總鎖倉價值 (TVL) 在近一天內下降超過 73%，僅剩 500 萬美元，營運狀況陷入危機。

開發團隊後續處理

EraLend 團隊在受到攻擊後不久，於其 Discord 中發布聲明：

我們已經調查並確認了 EraLend 此次的攻擊事件，同時向用戶保證情況已在掌控中，駭客已無法繼續進行攻擊。

並補充說明，目前只有 USDC 池受到攻擊，其餘資產皆安全無虞。作為預防措施，團隊也建議用戶暫時不要存入 $USDC，同時該平台已暫停了所有借貸服務。

什麼是 EraLend？

EraLend 是以太坊網路上基於 zksync，也就是零知識證明的 L2 借貸協議。旨在利用其不依賴外部流動性而達到低風險的特色，簡化用戶體驗並提高其資本利用效率。

DeFi 生態上半年的蓬勃發展，也同時帶動 zksync 的爆炸式增長，該網路的 TVL 在上週更突破史無前例的 1.95 億美元，仍在持續成長中，龐大資金也因而成為駭客眼中的待宰肥羊。