EraLend, il più grande protocollo di prestito di criptovalute di zkSync Era, è stato vittima di un hack per un valore di oltre 3,4 milioni di dollari. EraLend ha temporaneamente sospeso tutte le operazioni di prelievo e ha consigliato agli utenti di non depositare fondi fino a nuovo avviso.
EraLend subisce un grave hack su zkSync Era
EraLend, il più grande protocollo di prestito di criptovalute di zkSync Era in termini di valore totale bloccato (TVL), ha subito un hack del valore di oltre 3,4 milioni di dollari. Secondo i dati di DefiLlama, EraLend ha perso più del 62% del suo TVL iniziale come risultato.
Prima riportato da Spreek, l’hack è stato poi confermato direttamente dai team di EraLend su Twitter, che affermano che i rischi sono stati scongiurati, anche se il danno è stato fatto:
Aggiornamento sulla sicurezza: oggi si è verificato un incidente di sicurezza sulla nostra piattaforma. La minaccia è stata contenuta. Per il momento abbiamo sospeso tutte le operazioni di prestito e sconsigliamo di depositare USDC. Stiamo collaborando con i nostri partner e con le aziende che si occupano di sicurezza informatica per risolvere il problema.
Ulteriori aggiornamenti…– EraLend | The 1 Money Market on zkSync (@Era_Lend) July 25, 2023
” Aggiornamento sulla sicurezza: oggi si è verificato un incidente di sicurezza sulla nostra piattaforma. La minaccia è stata contenuta. Per il momento abbiamo sospeso tutte le operazioni di prestito e sconsigliamo di depositare USDC. Stiamo collaborando con i partner e con le società di cybersicurezza per risolvere il problema. “
Si ritiene che la colpa sia di un problema di “read-only reentrance”, una falla che ha permesso all’hacker di inondare lo smart contract con ripetute chiamate su una singola transazione per manipolare il prezzo delle criptovalute e rubarle. In altre parole, la manipolazione gli ha permesso di prelevare molti più fondi di quelli che lo smart contract avrebbe dovuto consentire.
Solitamente considerata sicura, la funzione di sola lettura indica che lo smart contract si limita a “visualizzare” le informazioni senza averne accesso. Tuttavia, in questo caso, EraLend si affidava a un sistema di oracolo appartenente alla borsa decentralizzata (DEX) SyncSwap, che a sua volta presentava una falla.
Il cofondatore della società di sicurezza blockchain BlockSec ha dichiarato ai colleghi di The Block che “tutti i progetti che utilizzano il codice di SyncSwap devono rimanere vigili”. SyncSwap è il più grande DEX di zkSync, con un TVL che si avvicina agli 80 milioni di dollari.
Secondo il team di EraLend, la funzionalità di prelievo sul protocollo è stata temporaneamente interrotta e si consiglia agli utenti del protocollo di non depositare altri fondi fino a nuovo avviso.
Basato su Ethereum (ETH), zkSync è il primo layer 2 basato sulla tecnologia zkRollups ad essere compatibile con la Ethereum Virtual Machine (EVM). Per saperne di più, leggete il nostro file dedicato a zkSync
