Brzi pregled
- Era Lend, koja radi na zkSync Layer 2 mreži, doživela je reentrancy napad sa gubitkom od 3,4 miliona dolara.
- Haker je iskoristio ranjivost reentrancy samo za čitanje, omogućavajući ponovljene pozive unutar transakcije kako bi ispraznio sredstva.
Era Lend, decentralizovani protokol za pozajmljivanje koji radi na zkSync Layer 2, postao je najnovija žrtva reentrancy napada koji je rezultirao gubitkom od 3,4 miliona dolara, kako je potvrđeno od strane sigurnosnih analitičara u BlockSec-u.
Napad je iskoristio ranjivost reentrancy samo za čitanje koja je omogućila hakeru da napravi ponovljene pozive funkcije unutar jedne transakcije, povlačeći više sredstava nego što mu pripada. Iskorišćavajući neispravan orakul cene na koji se Era Lend oslanjao, napadač je iskoristio reentrancy eksploit da dalje isprazni sredstva iz protokola.
Uobičajeno, funkcije označene kao samo za čitanje smatraju se sigurnim, često nedostajući zaštitu od reentrancy jer ne menjaju stanje ugovora. Izraz “samo za čitanje” ukazuje da funkcija samo izvršava akciju pregleda, poput izračunavanja stanja tokena na osnovu snabdevanja trećeg lica. U ovom slučaju, treće lice je druga decentralizovana berza nazvana SyncSwap. Međutim, kao što ovaj slučaj pokazuje, ove funkcije mogu biti manipulisane kako bi se isisala značajna sredstva.
“Napadač je promenio cenu LP tokova tokom akcija spaljivanja/mintovanja na SyncSwap-u, koristeći njegove rezerve da odredi cenu LP [na Era Lend-u]”, rekao je Lei Wu, suosnivač i CTO BlockSec-a, za The Block. “Svi projekti koji koriste SyncSwap kod trebaju biti oprezni.”
Era Lend odgovara
“Otkrili smo i potvrdili sajber napad na našu platformu. Želimo da vas uverimo da je napad zaustavljen i da napadač više ne može nastaviti svoje akcije”, rekao je Era Lend u saopštenju na Discord-u.
Precizirano je da je samo USDC bazen kompromitovan, dok je sigurnost sredstava osim USDC-a netaknuta.
Kao mera opreza, tim je savetovao korisnicima da se suzdrže od polaganja USDC-a u ovom trenutku. Takođe, operacije pozajmljivanja na platformi su privremeno obustavljene, dodao je tim.