Після того, як EraLend зламали, ми з постраждалими «вирили басейн», щоб врятуватися

Увечері 25 липня EraLend, протокол кредитування з найвищим TVL на zkSync, був раптово зламаний.

Відповідно до оголошення, опублікованого пізніше EraLend, причиною цієї атаки було те, що хакер маніпулював ціною машини Oracle і отримав близько 2,76 мільйона доларів США коштів із пулу USDC EraLend, тоді як інші пули фондів не постраждали.

Після інциденту, щоб приборкати подальший вплив, EraLend тимчасово припинив запозичення (Borrow) усіх пулів, а також функцію депозиту пулу USDC і пулу SyncSwap LP.

![Після того, як EraLend було зламано, ми з жертвами «викопали басейн», щоб врятуватися] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-2a8e50aea5-dd1a6f-7649e1)

Оскільки я захоплююся вищипуванням волосся, я завжди буду активно взаємодіяти з новими проектами великої нової екології, звичайно, не оминуть увагою більш популярні проекти, такі як EraLend, масштаб даних яких займає перше місце в екології.

На жаль, я мав 1000 USDC, що зберігаються в пулі USDC EraLend, тож мені «пощастило» стати безпосередньою жертвою цього інциденту.

26 липня, коли я відкрив основний інтерфейс EraLend і побачив, що розмір пулу USDC майже повернувся до нуля, а виведення здавалося безнадійним, я міг лише зітхнути: «Це справді невдача».

Щоб зрозуміти, куди розвивається ситуація, я відкрив офіційний інтерфейс Discord EraLend і, переглянувши канал оголошень без прогресу, відкрив китайський канал, щоб побачити, чи є подібні жертви.

Увійшовши в цей канал, я виявив, що хоча деякі співвітчизники час від часу запитували про поточну ситуацію, більша кількість авторитетів у китайському регіоні активно обмінювалася інформацією про інше – «рити басейн».

Як прозріння, я миттєво зрозумів, що все, здавалося, повертається!

Так зване «копання пулу» означає активне спостереження за конкретними змінами масштабу пулу USDC, щоб побачити, чи є якийсь новий приплив капіталу, а потім спробу повільно вивести ваші депозити з пулу, ініціюючи одну транзакцію за іншою. "забрати" назад.

То чому пул USDC, який був стертий хакерами та призупинив депозити, може продовжувати приплив капіталу?

Відповідь полягає в тому, що цього разу під час хакерського інциденту EraLend постраждав лише USDC, а пули ETH і SyncSwap LP не постраждали. Через побоювання щодо безпеки проекту деякі з них мали активи в цих двох пулах і позичили їх як заставу Якщо користувачі, які зняли USDC, хочуть повернути свої кошти (токени ETH або SyncSwap LP), вони повинні спочатку погасити борг USDC. Це змушує пул USDC продовжувати повертати боргові кошти, а також дає жертвам можливість «зловити» свої кошти назад.

Звичайно, оскільки кожне погашення боргу може повернути лише невизначену суму USDC, а кількість жертв, які дивляться на басейн, сподіваючись повернути свою кров, є великою, неминуче буде жорстка конкуренція. У цьому випадку найпотужнішими конкурентами, природно, є вчені, які розгорнули роботів, але, можливо, сам проект L2 має обмежену популярність (більш імовірно, що вченим, які можуть бачити код, зазвичай не пощастило), і багато користувачів Це означає, що ручне «копання» насправді може мати високі шанси на успіх.

Коли я зайшов на канал, випадково знайшлося кілька шахраїв, які сказали, скільки грошей вони «витратили», особливо безжалісний чоловік нижче, який всю ніч «потратив» 1000 доларів США. Оскільки сума коштів виявилася однаковою, його дав заяву Це змусило мене виконати велику роботу.

Тож з другої години дня я також почав намагатися "викопати" басейн.

Після спроби ініціювати запит на зняття коштів у інтерфейсі EraLend кілька разів, але показуючи помилку, я нарешті подав першу транзакцію, коли баланс у пулі становив близько 4 доларів, але, на жаль, це не було підтверджено в ланцюжку. Запитавши в відомих людей у спільноті, я дізнався, що це теж нормальна ситуація. Зрештою, всі грабують ці кошти. Хоча при зриві транзакції будуть певні втрати газу, ця частина втрат ні з чим не порівняти для повернення коштів Нічого серйозного.

Тож я продовжив спроби й повільно виявив, що приблизно 1 із кожних 2-3 запитів на зняття коштів може уникнути підказки про помилку для успішного ініціювання транзакції, а потім приблизно кожні 2-3 транзакції можуть бути успішно підтверджені (також з’являється у випадку n послідовних невдач, це лише загальна ймовірність), а потім завершити виведення спорадичних коштів.

Що стосується суми, яку ви можете отримати за кожне успішне зняття коштів, то в більшості випадків це лише 1-3 долари США.

![Після того, як EraLend було зламано, ми з жертвами «викопали басейн», щоб врятуватися] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-20029c9c7e-dd1a6f-7649e1)

Однак, якщо ви випадково зустрінете «живого бодхісаттву» з великою сумою виплати, у вас також може бути можливість «перевести» велику суму. У моєму власному випадку найвища сума «переведення» склала 301 USDC за один раз часу, що дуже важливо. Прискорив мій загальний прогрес.

![Після того, як EraLend було зламано, ми з жертвами «викопали басейн», щоб врятуватися] (https://img-cdn.gateio.im/resized-social/moments-7f230462a9-a5e427c2cc-dd1a6f-7649e1)

Цей різновид абсолютно випадкових відгуків про результати дивовижно дав мені інший вид стимуляції. Звичайно, я не єдиний, хто думає так. Деякі люди жартували в спільноті: «Я навіть думаю, що це дуже весело. Візьміть великий Но півгодини".

Більше користувачів жартують і підбадьорюють один одного, з посмішкою кажучи, що «це краще, ніж доставка їжі».

Загалом, оскільки все більше людей продовжують «переказувати» свої кошти, здається, що в спільноті не спостерігається значних репресій щодо злому.

Нарешті, близько 17:00, я "забираю" останню транзакцію приблизно на 4 долари та успішно повернув 1000 доларів США, які, як я думав, більше ніколи не поверну. Весь процес тривав приблизно 3 зникнення.

Загалом я використав, мабуть, менше сотні транзакцій (включно з невдалими). Враховуючи, що успішні транзакції зняття EraLend матимуть певну віддачу газу, споживання газу на кожну транзакцію становить приблизно 0,4 долара США. Тобто, повне споживання коштує близько 40 доларів США, що є цілком рентабельним.

Станом на публікацію, все ще є багато користувачів, які продовжують «виводити готівку» і намагаються повернути свої кошти, що зберігаються в EraLend, але можна передбачити, що, оскільки більше користувачів бере участь, і масштаб боргу продовжує скорочуватися (тобто, Пул USDC. Загальна сума коштів, які можна повернути, продовжує зменшуватися), чим пізніше час, тим менша ймовірність «виведення» коштів.

Вам важко судити, правильно це чи ні. З точки зору дії угоди, деякі жертви втекли спочатку, «викопавши басейн», передаючи ризик безнадійних боргів, спричинених інцидентом злому, самій угоді та іншим користувачам, які не втекли. Однак, судячи з поточного ситуація з EraLend. Оскільки TVL продовжує скорочуватися (головним чином через те, що користувачі двох інших пулів продовжуватимуть знімати кошти), угода навіть стикається з потенційною неплатоспроможністю. Катастрофа може бути неминучою, в цей час у постраждалих є можливість відшкодувати збитки, тому вони її, природно, не упустять.

У всякому разі, я біг першим, як повага.