Платформа Defi Era Lend, эксплуатируемая на zkSync, теряет активы на $ 3,4 млн

CertiK, ведущая блокчейн-компания по обеспечению безопасности, выпустила срочное предупреждение Skynet после получения многочисленных сообщений о том, что платформа defi Era Lend стала жертвой эксплуатации на zkSync.

Потери в настоящее время оцениваются примерно в 3,4 миллиона долларов.

Еще один взлом

CertiK, технологическая компания по обеспечению безопасности на блокчейне, которая часто публикует твиты об уязвимостях, взломах и эксплойтах в интернете, определяет атаку как “повторную атаку только для чтения”, стратегически нацеленную на многоступенчатые процессы платформы, позволяя злоумышленнику выводить средства, практически не оставляя следов.

По определению, “атака повторного входа только для чтения” - это метод, используемый хакерами для нарушения естественного потока транзакций в рамках смарт-контракта. Злоумышленник прерывает серию операций, а затем манипулирует контрактом, чтобы продолжить выполнение вредоносных действий без обновления его состояния.

Далее в отчете подчеркивается, что злоумышленник вывел средства, используя две отдельные транзакции со счета 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a, в которых они обнаружили уязвимость в функции обратного вызова и _updateReserves, которая позволила им манипулировать контрактом, чтобы сообщить старые значения, которые еще не были обновлены.

Команда Era Lend быстро распознала атаку и предприняла немедленные действия для защиты контрактов zkSync своего протокола.

Затем платформа опубликовала заявление на Discord, в котором говорилось, что был скомпрометирован только пул USDC, и в качестве меры предосторожности пользователям пока следует воздержаться от внесения этого актива.

Поскольку Era Lend является ответвлением проекта Syncswap, целью которого является распространение простых в использовании децентрализованных финансов (defi) и масштабирование Ethereum (ETH) в широких массах, Certik также предполагает, что другие проекты, использующие Syncswap, могут быть целями эксплойта.