EraLend, największy kryptowalutowy protokół pożyczkowy zkSync Era, padł ofiarą włamania o wartości ponad 3,4 miliona dolarów. EraLend tymczasowo zawiesił wszystkie operacje wypłat i doradził użytkownikom, aby nie wpłacali środków do odwołania.
EraLend cierpi z powodu poważnego włamania na zkSync Era
EraLend, największy protokół pożyczek kryptowalutowych w zkSync Era pod względem całkowitej zablokowanej wartości (TVL), padł ofiarą włamania o wartości ponad 3,4 miliona dolarów. Według danych DefiLlama, EraLend stracił w rezultacie ponad 62% swojej początkowej TVL.
Po raz pierwszy zgłoszone przez Spreek, włamanie zostało następnie potwierdzone bezpośrednio przez zespoły EraLend na Twitterze, które twierdzą, że ryzyko zostało zażegnane, chociaż szkody zostały wyrządzone:
Aktualizacja bezpieczeństwa: Doświadczyliśmy dziś incydentu bezpieczeństwa na naszej platformie. Zagrożenie zostało opanowane. Na razie zawiesiliśmy wszystkie operacje pożyczkowe i odradzamy deponowanie USDC. Współpracujemy z partnerami i firmami zajmującymi się cyberbezpieczeństwem, aby rozwiązać ten problem.
Więcej aktualizacji…– EraLend | The 1 Money Market on zkSync (@Era_Lend) July 25, 2023
” Aktualizacja zabezpieczeń: Doświadczyliśmy dziś incydentu bezpieczeństwa na naszej platformie. Zagrożenie zostało opanowane. Na razie zawiesiliśmy wszystkie operacje pożyczkowe i odradzamy deponowanie USDC. Współpracujemy z partnerami i firmami zajmującymi się cyberbezpieczeństwem, aby rozwiązać ten problem.”
Uważa się, że winny jest błąd „read-only reentrance”, który pozwolił hakerowi na zalanie inteligentnego kontraktu wielokrotnymi wywołaniami pojedynczej transakcji w celu manipulowania ceną kryptowalut i ich kradzieży. Innymi słowy, manipulacja pozwoliła mu wypłacić znacznie więcej środków, niż powinien na to pozwolić inteligentny kontrakt.
Zwykle uważana za bezpieczną, funkcja tylko do odczytu wskazuje, że inteligentny kontrakt jedynie „przegląda” informacje, nie mając do nich dostępu. Jednak w tym przypadku EraLend polegał na systemie wyroczni należącym do zdecentralizowanej giełdy (DEX) SyncSwap, który sam miał wadę.
Współzałożyciel firmy BlockSec zajmującej się bezpieczeństwem blockchain powiedział naszym kolegom z The Block, że „wszystkie projekty wykorzystujące kod SyncSwap muszą zachować czujność”. SyncSwap to największy DEX zkSync, z TVL zbliżającym się do 80 milionów dolarów.
Według zespołu EraLend, funkcja wypłat w protokole została tymczasowo wstrzymana, a użytkownikom protokołu zaleca się, aby nie wpłacali więcej środków do odwołania.
Oparty na Ethereum (ETH), zkSync jest pierwszą warstwą 2 opartą na technologii zkRollups, która jest kompatybilna z wirtualną maszyną Ethereum (EVM). Aby dowiedzieć się więcej na ten temat, przeczytaj nasz dedykowany plik zkSync
