Протокол криптовалютного кредитования EraLend взломан на сумму $3,4 млн

25 июля EraLend подверглась атаке reentrancy, в результате которой неизвестный злоумышленник смог присвоить себе криптовалюту на сумму около 3,4 млн. долл.

Атака reentrancy - тип кибератаки на смарт-контракты - является одним из наиболее распространенных эксплойтов против протоколов DeFi.

В нем злоумышленник выявляет уязвимость в коде смарт-контракта, чтобы повторно вызвать функцию внутри контракта до завершения предыдущего вызова функции. При неправильном выполнении эти вызовы функций могут манипулировать ценой токенов в смарт-контракте, позволяя злоумышленнику вывести из протокола гораздо больше средств, чем это должно быть возможно.

Использование недостатка оракулов

EraLend, децентрализованный кредитный протокол zkSync, ранее известный как Nexon Finance, якобы (по информации с их собственного сайта) с низким уровнем риска, отказался от использования оракулов, утверждая, что это делает его менее рискованным.

"Наша кредитная платформа менее рискованна, поскольку не зависит от оракулов и ликвидаций (внешней ликвидности)".

К сожалению для них, а точнее, для их несчастных пользователей, их маркетинг был подвергнут испытанию и признан несостоятельным.

После атаки, целью которой стал USDC-хранилище платформы, все операции по привлечению заемных средств были приостановлены. Кроме того, разработчики EraLend рекомендовали сообществу не размещать USDC на платформе до тех пор, пока проблема не будет решена.

🚨Обновление безопасности: Сегодня на нашей платформе произошел инцидент. Угроза была локализована. На данный момент мы приостановили все операции по привлечению заемных средств и не рекомендуем размещать средства в USDC. Мы работаем с партнерами и компаниями, занимающимися кибербезопасностью, над решением этой проблемы.
Больше обновлений...

- EraLend | The #1 Money Market on zkSync🥇 (@Era_Lend) 25 июля 2023 г.

Фирмы, занимающиеся вопросами кибербезопасности

Для того чтобы помочь разработчикам EraLend привести свою платформу в порядок и, возможно, даже раскрыть личность того, кто стоит за атакой, в контакт вступили несколько компаний, занимающихся кибербезопасностью, и другие партнеры. Компания BlockSec подтвердила свое участие в расследовании атаки.

Мы оказываем помощь @Era_Lend в решении этой проблемы, первопричина выявлена. Общая сумма убытков составляет ~3,4 млн долл.
В частности, речь идет об атаке реентерабельности только на чтение.
Другой атакующий tx: https://t.co/H4A2suVLai
Адрес злоумышленника:
0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a https://t.co/InhCCW7QAy

- BlockSec (@BlockSecTeam) 25 июля 2023 г.

Изначально эксплойт был анонсирован исследователями в области кибербезопасности Spreek и Saul. Пока не известно, остановилась ли общая потеря стоимости на отметке 3,4 млн. долл.

"По всей видимости, вероятной причиной является ретрансляция только для чтения, влияющая на ценообразование токенов LP. не уверен в размере взлома, возможно, он гораздо больше. все еще пытаюсь разобраться с этим разрывом rug block explorer".

Несмотря на то, что сумма похищенного не идет ни в какое сравнение со взломами Ronin или Harmony, каждый бит похищенной криптовалюты имеет значение.

В прошлом году общий объем похищенных у криптоинвесторов ценностей преодолел барьер в 10 млрд долларов, если учесть инвестиционные аферы, откровенное мошенничество и другие злонамеренные схемы. Сегодняшняя атака стала еще одним напоминанием о необходимости проводить собственные исследования, прежде чем вкладывать свои деньги в какую-либо платформу.