خسارة Era Lend التي تتخذ من ZkSync مقراً لها 3.4 مليون دولار في استغلال DeFi

أصبح Era Lend ، وهو بروتوكول إقراض لامركزي يعمل على zkSync Layer 2 ، أحدث ضحية لهجوم إعادة الدخول الذي أدى إلى خسارة 3.4 مليون دولار ، مثلمؤكد بواسطة محللي الأمن في BlockSec.

استغل الهجوم ثغرة في إعادة الدخول للقراءة فقط والتي سمحت للمتسلل بإجراء مكالمات متكررة لوظيفة ضمن معاملة واحدة ، وسحب أموالاً أكثر مما يحق له. من خلال الاستفادة من أوراكل السعر الخاطئ الذي اعتمد عليه إيرا ليند ، استخدم المهاجم استغلال إعادة الدخول لمزيد من استنزاف الأصول من البروتوكول.

عادةً ما تُعتبر وظائف العرض المصنفة على أنها للقراءة فقط آمنة ، وغالبًا ما تفتقر إلى حماية إعادة الدخول لأنها لا تغير حالة العقد. يشير المصطلح "للقراءة فقط" إلى أن الوظيفة تؤدي فقط إجراء عرض ، مثل حساب رصيد رمزي استنادًا إلى إمداد تجمع طرف ثالث. في هذه الحادثة ، كان الطرف الثالث عبارة عن بورصة لامركزية أخرى تسمى SyncSwap. ومع ذلك ، كما توضح هذه الحالة ، يمكن التلاعب بهذه الوظائف لامتصاص أموال كبيرة.

قال لي وو ، الشريك المؤسس والمدير التنفيذي للتكنولوجيا في BlockSec ، لموقع The Block: "قام المهاجم بتغيير سعر LP أثناء إجراءات الحرق / النعناع لـ SyncSwap ، باستخدام احتياطياته لتحديد سعر LP [في Era Lend]". "يجب أن تظل جميع المشاريع التي تستخدم رمز SyncSwap في حالة تأهب."

يستجيب عصر ليند

"لقد اكتشفنا وتأكدنا من هجوم إلكتروني على منصتنا. قال إيرا ليند فيإفادة على الفتنة.

وأوضحت أن تجمع USDC فقط هو الذي تم اختراقه ، في حين أن أمان الأصول بخلاف USDC لا يزال على حاله.

كإجراء احترازي ، نصح الفريق المستخدمين بالامتناع عن إيداع USDC في الوقت الحالي. بالإضافة إلى ذلك ، تم إيقاف عمليات الاقتراض على المنصة مؤقتًا.