Era Lend，一个在zkSync Layer 2上运行的去中心化借贷协议，成为了最新的重入攻击受害者，损失达340万美元，这一消息得到了BlockSec的安全分析师的确认。

此次攻击利用了一个只读重入漏洞，使黑客能够在单个交易中重复调用一个函数，提取超过他们应得的资金。攻击者利用Era Lend所依赖的一个有缺陷的价格预言机，通过重入漏洞进一步从协议中抽取资产。

通常，被标记为只读的视图函数被认为是安全的，因为它们不改变合约的状态，往往缺乏重入保护。“只读”一词表明该函数仅执行视图操作，例如根据第三方池的供应计算代币余额。在此事件中，第三方是另一个名为SyncSwap的去中心化交易所。然而，正如本案例所示，这些函数可以被操纵以 siphon 大量资金。

“攻击者在SyncSwap的销毁/铸造操作期间改变了LP的价格，利用其储备来确定[在Era Lend上的] LP价格，”BlockSec的联合创始人兼CTO吴雷告诉The Block。“所有使用SyncSwap代码的项目都应该保持警惕。”

“我们已检测并确认我们的平台遭受了网络攻击。我们想向您保证，攻击已被遏制，威胁行为者无法继续其行动，”Era Lend在Discord上的声明中表示。

它澄清说，只有USDC池受到影响，而USDC以外的资产安全完好。

作为预防措施，团队建议用户暂时不要存入USDC。此外，团队补充说，平台上的借贷操作已暂时停止。

© 2025 The Block. 保留所有权利。本文仅供信息参考。并不提供或意图作为法律、税务、投资、金融或其他建议。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。