EraLend, най-големият протокол за отпускане на заеми в криптовалута zkSync Era, стана жертва на хакерска атака на стойност над 3,4 млн. долара. EraLend временно преустанови всички операции по теглене на средства и посъветва потребителите да не депозират средства до второ нареждане.
EraLend претърпява голям хак на zkSync Era
EraLend, най-големият протокол за кредитиране на криптовалути zkSync Era по отношение на общата заключена стойност (TVL), претърпя хак на стойност над 3,4 млн. долара. По данни на DefiLlama в резултат на това EraLend е загубил повече от 62% от първоначалната си TVL.
Първоначално за хакерската атака съобщи Spreek, а след това тя беше потвърдена директно от екипите на EraLend в Twitter, които твърдят, че рисковете са били предотвратени, въпреки че щетите са нанесени:
Актуализация на сигурността: Днес преживяхме инцидент, свързан със сигурността на нашата платформа. Заплахата е овладяна. Засега сме преустановили всички операции по заемане на средства и съветваме да не депозирате USDC. Работим с партньори и фирми за киберсигурност, за да се справим с проблема.
Още актуализации…– EraLend | The 1 Money Market on zkSync (@Era_Lend) July 25, 2023
“ Актуализация на сигурността: Днес в нашата платформа се случи инцидент, свързан със сигурността. Заплахата е овладяна. За момента сме преустановили всички операции по заемане на средства и съветваме да не се внасят USDC. Работим с партньори и фирми за киберсигурност, за да разрешим този проблем.“
Смята се, че за това е виновен проблемът с „повторното влизане само за четене“ – недостатък, който е позволил на хакера да наводни интелигентния договор с многократни повиквания за една транзакция, за да манипулира цената на криптовалутите и да ги открадне. С други думи, манипулацията му е позволила да изтегли много повече средства, отколкото интелигентният договор е трябвало да позволи.
Обикновено считана за сигурна, функцията „само за четене“ показва, че интелигентният договор само „преглежда“ информацията, без да има достъп до нея. В този случай обаче EraLend разчиташе на оракулска система, принадлежаща на децентрализираната борса (DEX) SyncSwap, която сама по себе си имаше недостатък.
Съоснователят на фирмата за сигурност на блокчейн BlockSec заяви пред колегите ни от The Block, че „всички проекти, използващи кода на SyncSwap, трябва да останат бдителни“. SyncSwap е най-големият DEX на zkSync, като TVL наближава 80 млн. долара.
Според екипа на EraLend функционалността за теглене на средства в протокола е временно спряна, а потребителите на протокола са посъветвани да не депозират повече средства до второ нареждане.
Базиран на Етериум (ETH), zkSync е първият слой 2, базиран на технологията zkRollups, който е съвместим с виртуалната машина на Етериум (EVM). За да научите повече за нея, моля, прочетете нашия специален файл за zkSync