Най-големият кредитор на ZkSync EraLend претърпя атака от $3,4 милиона

Време за четене : 1 мин.
Сподели: Facebook
Twitter

Ключови точки:

EraLend, водещият протокол за кредитиране на zkSync на Ethereum, претърпява атака за повторно влизане само за четене на стойност $3,4 милиона.
Нападателят се възползва от уязвимост в кода на интелигентния договор, като използва грешен ценови оракул, за да тегли многократно повече средства от разрешеното.
EraLend незабавно спира операциите по заемане и съветва потребителите да не депозират USDC, докато работят с фирми за киберсигурност за справяне с пробива в сигурността.

При неотдавнашен пробив в сигурността, EraLend, най-големият протокол за кредитиране, работещ върху Ethereum мащабиращ блокчейн zkSync, стана жертва на атака само за четене с повторно влизане, което доведе до значителна загуба от $3,4 милиона.

Според фирмата за сигурност на блокчейн CertiK, атаката е използвала уязвимост в кода на интелигентния договор на EraLend, позволявайки на атакуващия да изтегли повече средства от разрешеното в рамките на една транзакция. В резултат на експлойта общият размер на заключен капитал в EraLend спадна от $18,5 милиона на $7,7 милиона, както се съобщава от DefiLlama.

Уязвимостта, от която се е възползвал атакуващият, включва функция само за четене, която обикновено се счита за безопасна поради неспособността й да променя състоянието на договора. Тези функции извършват действия за преглед, като например изчисляване на баланси на токени, без да променят никакви данни. Хакерът обаче манипулира тази функция чрез експлойт за повторно влизане, като многократно я извиква за източване на активи от EraLend. Експлойтът се фокусира върху погрешен ценови оракул, на който EraLend разчиташе, което в крайна сметка позволи на нападателя да източи значителни средства от протокола.

Ние помагаме на @Era_Lend за този проблем и основната причина е идентифицирана. Общата загуба е ~$3,4 милиона. По-конкретно, това е атака само за повторно влизане само за четене. Друга атака tx е: https://t.co/H4A2suVLai Адрес на атакуващия:0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a https://t.co/InhCCW7QAy

— BlockSec (@BlockSecTeam) 25 юли 2023 г

Era Lend се справи с инцидента незабавно, като спря всички операции по заемане и предупреди потребителите да не депозират USDC (USD Coin), докато проблемът не бъде разрешен. Екипът работи активно с фирми и партньори за киберсигурност, за да разследва атаката и да приложи необходимите мерки за сигурност.

В резултат на атаката Era Lend увери своите потребители, че само USDC пулът е компрометиран и сигурността на активи, различни от USDC, остава непокътната. Като предпазна стъпка платформата временно спря операциите по заемане, за да предотврати по-нататъшни загуби.

Атаката срещу EraLend прилича на подобен инцидент, насочен към протокола за децентрализирано финансиране (DeFi) Conic Finance миналата седмица, което доведе до обща загуба от 3,6 милиона долара. Той подчертава необходимостта от повишени мерки за сигурност в пространството на DeFi, тъй като нападателите продължават да използват уязвимости в кода на интелигентния договор.

Въпреки неуспеха, EraLend остава ангажиран с подобряването на своята инфраструктура за сигурност, за да защити средствата на потребителите и да укрепи доверието на своята общност. С развитието на екосистемата DeFi е очевидно, че постоянната бдителност и проактивните мерки за сигурност са от съществено значение за защита на активите на потребителите и цялостната цялост на децентрализираните платформи.

ОТКАЗ ОТ ОТГОВОРНОСТ: Информацията на този уебсайт се предоставя като общ пазарен коментар и не представлява инвестиционен съвет. Препоръчваме ви да направите свое собствено проучване, преди да инвестирате.

Прочетете още...

24 Crypto News