EraLend, крупнейший протокол криптовалютного кредитования zkSync Era, стал жертвой взлома на сумму более 3,4 млн долларов США. EraLend временно приостановил все операции по выводу средств и рекомендовал пользователям не вносить средства до дальнейшего уведомления.
EraLend подверглась крупному взлому на zkSync Era
EraLend, крупнейший протокол криптовалютного кредитования zkSync Era по общему объему блокировок (TVL), подвергся взлому на сумму более 3,4 млн долл. По данным DefiLlama, в результате EraLend потерял более 62% от своей первоначальной TVL.
Первое сообщение о взломе поступило от Spreek, затем взлом был подтвержден непосредственно командами EraLend в Twitter, которые заявили, что риски были предотвращены, хотя ущерб был нанесен:
Обновление безопасности: Сегодня на нашей платформе произошел инцидент. Угроза была локализована. На данный момент мы приостановили все операции по привлечению заемных средств и не рекомендуем размещать средства в USDC. Мы работаем с партнерами и компаниями, занимающимися кибербезопасностью, над решением этой проблемы.
Больше обновлений…— EraLend | The 1 Money Market on zkSync (@Era_Lend) July 25, 2023
» Обновление системы безопасности: Сегодня на нашей платформе произошел инцидент. Угроза была локализована. На данный момент мы приостановили все операции по привлечению заемных средств и не рекомендуем вносить USDC. Мы работаем с партнерами и компаниями, занимающимися кибербезопасностью, над решением этой проблемы. «
Предполагается, что в этом виновата проблема «read-only reentrance» — недостаток, который позволил хакеру наводнить смарт-контракт повторными вызовами одной транзакции, чтобы манипулировать ценой криптовалют и похищать их. Другими словами, манипуляции позволяли вывести гораздо больше средств, чем должен был позволить смарт-контракт.
Обычно функция «только чтение» считается безопасной и означает, что смарт-контракт просто «просматривает» информацию, не имея к ней доступа. Однако в данном случае EraLend полагался на систему оракулов, принадлежащую децентрализованной бирже (DEX) SyncSwap, которая сама имела недостаток.
Сооснователь компании BlockSec, занимающейся вопросами безопасности блокчейна, сообщил нашим коллегам из The Block, что «все проекты, использующие код SyncSwap, должны сохранять бдительность». SyncSwap — крупнейший DEX компании zkSync, его TVL приближается к 80 млн. долл.
По словам команды EraLend, вывод средств из протокола временно приостановлен, и пользователям протокола рекомендуется не вносить больше средств до дальнейшего уведомления.
Основанный на Ethereum (ETH), zkSync — первый протокол второго уровня на базе технологии zkRollups, совместимый с виртуальной машиной Ethereum (EVM). Чтобы узнать о ней больше, ознакомьтесь с нашим специальным файлом zkSync
