Après le piratage d'EraLend, les victimes et moi avons "creusé la piscine" pour nous sauver

Le soir du 25 juillet, EraLend, le protocole de prêt avec la TVL la plus élevée sur zkSync, a été soudainement piraté.

Selon l'annonce publiée par EraLend par la suite, la raison de cette attaque était que le pirate informatique avait manipulé le prix de la machine oracle et obtenu environ 2,76 millions de dollars américains de fonds du pool USDC d'EraLend, tandis que les autres pools de fonds n'étaient pas affectés.

Après l'incident, afin de limiter l'impact supplémentaire, EraLend a temporairement arrêté l'emprunt (Borrow) de tous les pools, ainsi que la fonction de dépôt du pool USDC et du pool SyncSwap LP.

![Après le piratage d'EraLend, les victimes et moi avons "creusé la piscine" pour nous sauver] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-2a8e50aea5-dd1a6f-7649e1)

Comme je suis passionnée par l'épilation, j'interagirai toujours activement avec les nouveaux projets de grande nouvelle écologie. Naturellement, les projets les plus populaires tels que EraLend dont l'échelle de données est à la pointe de l'écologie ne le manqueront pas.

Malheureusement, il se trouve que j'avais 1 000 USDC stockés dans le pool USDC d'EraLend, j'ai donc eu la "chance" d'être une victime directe de cet incident.

Le 26 juillet, lorsque j'ai ouvert l'interface principale d'EraLend et que j'ai vu que la taille du pool USDC était presque revenue à 0, et que le retrait semblait sans espoir, je n'ai pu que soupirer "C'est vraiment pas de chance".

Par souci de voir où va la situation, j'ai ouvert l'interface Discord officielle d'EraLend, et après avoir parcouru le canal d'annonce sans progrès, j'ai ouvert le canal chinois pour voir s'il y avait des victimes similaires.

Après être entré sur cette chaîne, j'ai découvert que bien qu'il y ait des compagnons d'infortune qui s'interrogent par intermittence sur la situation actuelle, mais que de plus en plus de gros bonnets dans la région de langue chinoise communiquent activement sur autre chose - "creuser la piscine".

Comme l'illumination, j'ai instantanément réalisé que les choses semblaient tourner autour !

Le soi-disant "creuser le pool" consiste à surveiller activement les changements d'échelle spécifiques du pool USDC pour voir s'il y a de nouveaux apports de capitaux, puis à essayer de retirer lentement vos dépôts du pool en lançant une transaction après l'autre. "récupérer".

Alors pourquoi le pool USDC, qui a été anéanti par des pirates informatiques et a suspendu les dépôts, peut-il continuer à avoir des entrées de capitaux ?

La réponse est que seul l'USDC a été endommagé dans l'incident de piratage d'EraLend cette fois-ci, et les pools ETH et SyncSwap LP n'ont pas été affectés.Par souci de sécurité du projet, certains d'entre eux avaient des actifs dans ces deux pools et les ont empruntés en garantie. Si les utilisateurs qui ont retiré USDC veulent récupérer leurs fonds (tokens ETH ou SyncSwap LP), ils doivent d'abord rembourser la dette USDC. Cela permet au pool de l'USDC de continuer à avoir des fonds de dette qui reviennent, et cela donne également aux victimes la possibilité de "récupérer" leurs fonds.

Bien sûr, étant donné que chaque remboursement de dette ne peut rapporter qu'un montant indéfini d'USDC, et que le nombre de victimes regardant la piscine dans l'espoir de rendre leur sang est important, il y aura inévitablement une concurrence féroce. Dans ce cas, les concurrents les plus puissants sont naturellement les scientifiques qui ont déployé des robots, mais peut-être que le projet L2 lui-même a une popularité limitée (il est plus probable que les scientifiques qui peuvent voir le code ne souffrent généralement pas d'une telle chance sanglante), et de nombreux utilisateurs Cela signifie que le "creusage" manuel peut en fait avoir de grandes chances de succès.

Quand je suis entré dans la chaîne, il s'est avéré que quelques gros bonnets ont dit combien d'argent ils avaient "dépensé", en particulier la personne impitoyable ci-dessous qui a "dépensé" 1 000 USDC toute la nuit. déclaration a donné Cela m'a déterminé à faire un gros travail.

Alors à partir de 14h cet après-midi, j'ai aussi commencé à essayer de "creuser" la piscine.

Après avoir essayé plusieurs fois d'initier une demande de retrait sur le front-end d'EraLend mais en montrant une erreur, j'ai finalement soumis la première transaction lorsque le solde du pool était d'environ 4 $, mais malheureusement cela n'a pas été confirmé sur la chaîne. Après avoir demandé aux gros bonnets de la communauté, j'ai appris que c'était aussi une situation normale. Après tout, tout le monde vole ces fonds. Bien qu'il y ait une certaine perte de gaz lorsque la transaction échoue, cette partie de la perte n'est rien comparée pour récupérer les fonds. Rien de grave.

J'ai donc continué à essayer et j'ai lentement découvert qu'environ 1 demande de retrait sur 2 à 3 peut éviter l'invite d'erreur pour lancer avec succès une transaction, et par la suite environ toutes les 2 à 3 transactions peuvent être confirmées avec succès (apparaissent également dans le cas de n échecs consécutifs, ce n'est que la probabilité globale), puis terminer le retrait des fonds sporadiques.

Quant au montant que vous pouvez obtenir pour chaque retrait réussi, il ne s'agit en fait que de 1 à 3 dollars américains dans la plupart des cas.

![Après le piratage d'EraLend, les victimes et moi avons "creusé la piscine" pour nous sauver] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-20029c9c7e-dd1a6f-7649e1)

Cependant, s'il vous arrive de rencontrer un "bodhisattva vivant" avec un gros montant de remboursement, vous pouvez également avoir la possibilité d'"encaisser" une grosse somme. Dans mon propre cas, le plus élevé "encaisse" 301 USDC à un temps, ce qui est un gros problème. J'ai accéléré ma progression globale.

![Après le piratage d'EraLend, les victimes et moi avons "creusé la piscine" pour nous sauver] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-a5e427c2cc-dd1a6f-7649e1)

Ce genre de retour de résultat complètement aléatoire m'a merveilleusement donné un autre type de stimulation. Bien sûr, je ne suis pas le seul à penser de cette façon. Certaines personnes ont plaisanté dans la communauté, "Je pense même que c'est très amusant. Sortez un gros Noh une demi-heure".

De plus en plus d'utilisateurs plaisantent et s'encouragent, disant avec un sourire que "c'est mieux que la livraison de nourriture".

Dans l'ensemble, alors que de plus en plus de personnes continuent à "encaisser" leurs fonds, il ne semble pas y avoir beaucoup de répression dans la communauté à cause du piratage.

Enfin, vers 17h00, j'ai "récupéré" la dernière transaction d'environ 4 dollars, et j'ai réussi à récupérer les 1 000 USDC que je pensais ne plus jamais récupérer. L'ensemble du processus a pris environ 3 disparitions.

Au total, j'ai probablement utilisé moins d'une centaine de transactions (y compris celles qui ont échoué). Considérant que les transactions de retrait réussies d'EraLend auront un certain retour de gaz, la consommation de gaz de chaque transaction est d'environ 0,4 dollars américains. la consommation totale coûte environ 40 dollars américains, ce qui est tout à fait rentable.

Au moment de la publication, il y a encore de nombreux utilisateurs qui continuent à "encaisser" et à essayer de récupérer leurs fonds stockés dans EraLend, mais il est prévisible qu'à mesure que de plus en plus d'utilisateurs participent et que l'échelle de la dette continue de diminuer (c'est-à-dire que le Pool USDC Le montant total des fonds pouvant être restitués continue de diminuer), plus le temps est tardif, plus la possibilité de "retirer" les fonds est faible.

Il vous est difficile de juger si cette affaire est bonne ou mauvaise. Du point de vue du fonctionnement de l'accord, certaines victimes ont d'abord fui en "creusant la piscine", transférant le risque de créances irrécouvrables causées par l'incident de piratage à l'accord lui-même et à d'autres utilisateurs qui n'ont pas fui. situation d'EraLend, alors que la TVL continue de diminuer (principalement parce que les utilisateurs des deux autres pools continueront de retirer des fonds), l'accord est même confronté à un potentiel d'insolvabilité. La catastrophe peut être imminente, à ce moment-là, les victimes ont la possibilité de récupérer leurs pertes, elles ne la manqueront donc pas naturellement.

Quoi qu'il en soit, j'ai couru en premier par respect.