CertiK, ведущая блокчейн-компания по обеспечению безопасности, выпустила срочное предупреждение Skynet после получения многочисленных сообщений о том, что платформа defi Era Lend стала жертвой эксплуатации на zkSync.
Потери в настоящее время оцениваются примерно в 3,4 миллиона долларов.
Еще один взлом
CertiK, технологическая компания по обеспечению безопасности на блокчейне, которая часто публикует твиты об уязвимостях, взломах и эксплойтах в интернете, определяет атаку как “повторную атаку только для чтения”, стратегически нацеленную на многоступенчатые процессы платформы, позволяя злоумышленнику выводить средства, практически не оставляя следов.
По определению, “атака повторного входа только для чтения” - это метод, используемый хакерами для нарушения естественного потока транзакций в рамках смарт-контракта. Злоумышленник прерывает серию операций, а затем манипулирует контрактом, чтобы продолжить выполнение вредоносных действий без обновления его состояния.
Далее в отчете подчеркивается, что злоумышленник вывел средства, используя две отдельные транзакции со счета 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a, в которых они обнаружили уязвимость в функции обратного вызова и _updateReserves, которая позволила им манипулировать контрактом, чтобы сообщить старые значения, которые еще не были обновлены.
обновление от команды ht @pcaversaccio pic.twitter.com/TJDSVt1sYs
— Spreek (@spreekaway) 25 июля 2023
Команда Era Lend быстро распознала атаку и предприняла немедленные действия для защиты контрактов zkSync своего протокола.
Затем платформа опубликовала заявление на Discord, в котором говорилось, что был скомпрометирован только пул USDC, и в качестве меры предосторожности пользователям пока следует воздержаться от внесения этого актива.
Поскольку Era Lend является ответвлением проекта Syncswap, целью которого является распространение простых в использовании децентрализованных финансов (defi) и масштабирование Ethereum (ETH) в широких массах, Certik также предполагает, что другие проекты, использующие Syncswap, могут быть целями эксплойта.