EraLend, největší protokol pro půjčování kryptoměn zkSync Era, se stal obětí hackerského útoku za více než 3,4 milionu dolarů. EraLend dočasně pozastavil všechny operace s výběry a doporučil uživatelům, aby až do odvolání nevkládali finanční prostředky.
EraLend utrpěl rozsáhlý hack na zkSync Era
EraLend, největší protokol pro půjčování kryptoměn zkSync Era z hlediska celkové uzamčené hodnoty (TVL), utrpěl hack v hodnotě více než 3,4 milionu dolarů. Podle údajů DefiLlama přišel EraLend v důsledku toho o více než 62 % své původní hodnoty TVL.
Na hackerský útok nejprve upozornil Spreek, poté jej na Twitteru potvrdily přímo týmy EraLendu, podle nichž se podařilo rizika odvrátit, i když škody byly napáchány:
Aktualizace zabezpečení: Dnes jsme zaznamenali bezpečnostní incident na naší platformě. Hrozba byla zažehnána. Prozatím jsme pozastavili všechny výpůjční operace a nedoporučujeme vkládat USDC. Na řešení této situace spolupracujeme s partnery a firmami zabývajícími se kybernetickou bezpečností.
Další aktualizace…– EraLend | The 1 Money Market on zkSync (@Era_Lend) July 25 2023
“ Aktualizace zabezpečení: Dnes jsme na naší platformě zaznamenali bezpečnostní incident. Hrozba byla odstraněna. Prozatím jsme pozastavili všechny výpůjční operace a nedoporučujeme vkládat USDC. Na vyřešení tohoto problému spolupracujeme s partnery a firmami zabývajícími se kybernetickou bezpečností.“
Předpokládá se, že na vině je problém „read-only reentrance“, tedy chyba, která hackerovi umožnila zahltit inteligentní kontrakt opakovanými voláními na jednu transakci s cílem manipulovat s cenou kryptoměn a ukrást je. Jinými slovy, manipulace mu umožnila vybrat mnohem více prostředků, než měl inteligentní kontrakt umožňovat.
Funkce pouze pro čtení, která je obvykle považována za bezpečnou, naznačuje, že inteligentní smlouva pouze „prohlíží“ informace, aniž by k nim měla přístup. V tomto případě se však EraLend spoléhal na systém oracle patřící decentralizované burze (DEX) SyncSwap, který sám o sobě měl chybu.
Spoluzakladatel společnosti BlockSec, která se zabývá bezpečností blockchainu, řekl našim kolegům z Bloku, že „všechny projekty využívající kód SyncSwap musí zůstat ostražité“. SyncSwap je největší DEX zkSync, jehož TVL se blíží 80 milionům dolarů.
Podle týmu EraLend byla funkce výběru na protokolu dočasně zastavena a uživatelům protokolu se doporučuje, aby až do odvolání nevkládali žádné další prostředky.
Protokol zkSync, založený na platformě Ethereum (ETH), je první vrstvou 2 založenou na technologii zkRollups, která je kompatibilní s virtuálním strojem Ethereum (EVM). Chcete-li se o ní dozvědět více, přečtěte si náš specializovaný soubor zkSync
