Nederlands
English
Français
Deutsch
Italiano
Português
Русский
Español
Uitleen-app Era Lend op zkSync is uitgebuit voor $ 3,4 miljoen aan crypto, volgens een rapport van 25 juli van blockchain-beveiligingsbedrijf CertiK. De aanvaller gebruikte een “alleen-lezen herintredingsaanval” om het geld af te tappen. Dit is een type aanval dat een uit meerdere stappen bestaand proces onderbreekt en er vervolgens voor zorgt dat het doorgaat nadat een kwaadwillende actie is uitgevoerd. In het bijzonder is een “alleen-lezen” herintreding er een die de status van een contract niet bijwerkt.
We zien berichten dat @Era_Lend is uitgebuit op zkSync
De totale verliezen lijken $ 3,4 miljoen te bedragen bij een alleen-lezen herintredingsaanval
Zie meer hieronder https://t.co/h8xrjccE5i
— CertiK-waarschuwing (@CertiKAlert) 25 juli 2023
Volgens het rapport heeft de aanvaller geld leeggemaakt in twee afzonderlijke transacties, met behulp van de externe rekening 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a. Ze vertrouwden op een kwetsbaarheid in de “callback- en _updateReserves-functie” om een contract te manipuleren om oude waarden te rapporteren die nog niet waren bijgewerkt.
Era Lend is een afsplitsing van het Syncswap-project en CertiK beweerde dat andere projecten op basis van Syncswap mogelijk ook kwetsbaar zijn voor de exploit.
On-chain speurneus en Twitter-gebruiker Spreek meldde dat de Syncswap-code een gebruiker in staat stelt om “te branden en vervolgens terug te bellen voordat update_reserves wordt aangeroepen”, waardoor het orakel onjuiste waarden rapporteert.
in de syncswap LP-tokens kan men branden en vervolgens terugbellen voordat update_reserves wordt aangeroepen. dus het orakel gebruikt een onjuiste reservewaarde om de prijs te berekenen, wat resulteert in een opblazende orakelprijs. pic.twitter.com/0U7Vu7BzJM
— Spreek (@spreekaway) 25 juli 2023
Spreek ook gemeld dat het Era Lend-team had erkend de aanval en onderbrak de zkSync-contracten van het protocol om verdere exploits te voorkomen.
Een andere blockchain-onderzoeker, op Twitter bekend als Saul, meldde dat de aanval had plaatsgevonden aangetast stablecoin USDC+, uitgegeven door het Overnight Finance-protocol. Volgens Saul heeft het Overnight-team de blootstelling erkend en ook zijn eigen contracten gepauzeerd. Meer dan $ 261.000, of 7,86% van de totale waarde van het onderpand dat de stablecoin ondersteunt, is mogelijk verloren gegaan.
In een blogpost van 7 juni waarin wordt uitgelegd hoe alleen-lezen herintredingsaanvallen worden uitgevoerd, verklaarde de pseudonieme blockchain-onderzoeker Officer’s Notes dat deze kwetsbaarheden moeilijk te herkennen zijn voor auditors, aangezien “auditors en bugjagers zich meestal alleen bezighouden met toegangspunten die de status wijzigen wanneer ze op zoek zijn naar herintreding.”
Om dit probleem te helpen verlichten, raadt Officer’s Notes auditors aan om gespecialiseerde software te gebruiken om hen te helpen bij het vinden van deze kwetsbaarheden.
Era Lend draait op het zkSync-netwerk, een zero-knowledge proof Ethereum layer-2 rollup. In april bereikte de totale vergrendelde waarde van het netwerk meer dan $ 110 miljoen. De ontwikkelaars van het netwerk zijn van plan om tegen het einde van het jaar een ecosysteem van interoperabele ketens te creëren, “Hyperchains” genaamd.
Lees hier het volledige artikel.