阿里快讯(Alibtc.com)讯:以太坊Layer2项目zkSync的龙头借贷协议EraLend于本月25日遭黑客攻击,据资安公司Certik指出,黑客利用代码漏洞进行「重入攻击(read only reentrancy),预估损失金额高达340万美金。
EraLend遭黑客攻击,TVL暴跌近1,500万美元
据PeckSheild对黑客攻击事件的说明,主因是代码的漏洞而引发重入攻击,黑客可以重复调用特定函数来盗取资金。
对此,Eralend在遭到黑客攻击后不久,于当天在DC群发公告表示:我们向您保证,攻击已经得到遏止,黑客无法再继续行动。目前正在评估影响范围,将会进一步公布。作为预防措施,我们已经停止了所有借贷业务,以确保资金安全。
同时Eralend也特别提醒,只有USDC受到此黑客事件影响,其他资产是安全的,并强烈建议用户在这段期间不要存入USDC。
值得注意的是,据DefiLlama数据显示,Eralend在黑客攻击前的TVL高达1851万美金,如今已跌至359万镁,跌幅高达80%。
Eralend:黑客若愿意还钱,可以获得10%白帽赏金
事发一天后,Eralend于昨(26)日晚间于推特发布致黑客的一封信,内文提到黑客原本可以在这次事件中耗尽所有流动性,却选择仅利用一部分,Eraland将此解释为对受害者的善意和担心事件的影响范围扩大,不过这仍然是非法行为,而且波及50万个Eralend用户和DeFi社群。
对此,Eralend于信中表示,正与安全专业人士、CEX、DeFi安全社群以及执法机构进行合作,追踪黑客在攻击前后留下的链上和链下记录,并在信的最后一段给出建议,Eralend提到:在7月27日(UTC)14:00之前将90%的资金归还到以下地址,我们将停止追捕你。你可以保留被盗资金的10%作为白帽赏金,接收钱包地址是:0x9eEE479DCf6075a0cb905c27e8F952910c3bb69D如果在截止日期前未归还资金,我们将别无选择,只能将此事升级。交易将被终止,我们将立即为任何帮助我们起诉您并追回被盗资金的个人或组织设置另一笔赏金。
zkSync Era生态频频出包,社群信心出现动摇
值得注意的是,zkSync Era的生态项目频频出包,社群对项目的信心也开始出现动摇;据先前报导,DEX协议Merlin于今年4月底遭黑180万美元,究其原因是团队内部人员滥用所有者钱包的权限,Rugpull所有用户。
更早之前,zkSync Era在上线仅仅不到两周时间,因为技术问题,旗下生态项目筹集的921枚ETH竟然卡在合约中无法领出,让许多用户从原本的期待转而出现负面情绪。
总体而言,zkSync Era仍然还处较早发展阶段,生态项目相对不稳定,因此也特别提醒投资人在交互项目前先做好DYOR,同时也建议别放过多资金在初期项目上。