Era Lend на zkSync подвергся атаке повторного входа на сумму $3.4 млн.

Era Lend на zkSync подвергся атаке на $3.4 млн.

По данным отчета от 25 июля от компании по блокчейн-безопасности CertiK, приложение для кредитования Era Lend на zkSync было атаковано на сумму в 3,4 миллиона долларов в криптовалюте. Атакующий использовал “атаку с повторным чтением только для чтения”, чтобы вывести средства, которая представляет собой тип атаки, прерывающей многократный процесс и затем заставляющей его продолжаться после выполнения злонамеренных действий. А именно, “только для чтения” повторное чтение – это то, которое не обновляет состояние контракта.

#CertiKSkynetAlertМы видим сообщения о том, что @Era_Lend был атакован на zkSyncОбщая потеря, похоже, составляет 3,4 миллиона долларов в атаке с повторным чтением только для чтенияПодробнее см. ниже https://t.co/h8xrjccE5i

— CertiK Alert (@CertiKAlert) 25 июля 2023 г.

По данным отчета, атакующий вывел средства в двух отдельных транзакциях, используя внешний управляемый аккаунт 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a. Они опирались на уязвимость в “функции обратного вызова и _updateReserves”, чтобы манипулировать контрактом и сообщать старые значения, которые еще не были обновлены.

• Крупнейший кредитор ZkSync столкнулся с эксплуатацией на сумму $3.4 млн.
• Connext и Alchemix запускают стандарт кросс-цепочечного токена для снижения потерь от эксплуатации моста.
• 3 причины, почему фундаментальные данные Maker (MKR) указывают на дальнейший рост цены

Era Lend является форком проекта Syncswap, и CertiK утверждал, что другие проекты, основанные на Syncswap, также могут быть уязвимы для атаки.

Исследователь блокчейна и пользователь Twitter с ником Spreek сообщил, что код Syncswap позволяет пользователю “сжечь, а затем выполнить обратный вызов до вызова update_reserves”, вызывая неправильное значение оракула.

в токенах LP syncswap можно сжечь, а затем выполнить обратный вызов до вызова update_reserves. поэтому оракул использует неправильное значение резерва для расчета цены, что приводит к завышенной цене оракула. pic.twitter.com/0U7Vu7BzJM

— Spreek (@spreekaway) 25 июля 2023 г.

Spreek также сообщил, что команда Era Lend признала атаку и приостановила контракты протокола zkSync, чтобы предотвратить дальнейшие атаки.

Еще один исследователь блокчейна, известный на Twitter как Saul, сообщил, что атака затронула стейблкоин USDC+, выпущенный протоколом Overnight Finance. По словам Саула, команда Overnight признала уязвимость и также приостановила свои контракты. Может быть потеряно более 261 000 долларов или 7,86% общей стоимости залога, поддерживающего стейблкоин.

В блоге от 7 июня, где объясняется, как осуществляются атаки с повторным чтением только для чтения, псевдонимный исследователь блокчейна Officer’s Notes заявил, что такие уязвимости сложно обнаружить аудиторам, поскольку “обычно аудиторы и искатели ошибок интересуются только точками входа, которые изменяют состояние при поиске повторного чтения”.

Чтобы помочь решить эту проблему, Officer’s Notes рекомендует аудиторам использовать специализированное программное обеспечение для поиска таких уязвимостей.

Era Lend работает на сети zkSync, нулевом доказательстве Ethereum второго уровня. В апреле общая заблокированная стоимость сети достигла более 110 миллионов долларов. Разработчики сети намерены создать экосистему взаимодействующих цепей, называемых “Гиперцепями”, к концу года.

Соберите эту статью как NFT, чтобы сохранить этот момент в истории и проявить поддержку независимой журналистики в криптопространстве.

We will continue to update BiLee; if you have any questions or suggestions, please contact us!