Era Lend fue explotado en zkSync por valor de USD 3.4 millones en un ataque de reentrada
La aplicación de préstamos Era Lend en zkSync ha sido víctima de un ataque que le ha robado criptomonedas por valor de USD 3.4 millones, según un informe del 25 de julio de la empresa de seguridad de blockchain CertiK. El atacante utilizó un “ataque de reentrada de solo lectura” para drenar los fondos, que es un tipo de ataque que interrumpe un proceso de varios pasos y luego hace que continúe después de que se haya realizado una acción maliciosa. En concreto, una reentrada de “solo lectura” es aquella que no actualiza el estado de un contrato.
We are seeing reports that @Era_Lend has been exploited on zkSync
Total losses appear to be $3.4 million in a read only reentrancy attack
See more below https://t.co/h8xrjccE5i
— CertiK Alert (@CertiKAlert) July 25, 2023
Estamos viendo informes de que @Era_Lend ha sido explotado en zkSync
Las pérdidas totales parecen ser de USD 3.4 millones en un ataque de reentrada de solo lectura
Según el informe, el atacante drenó fondos en dos transacciones separadas, utilizando la cuenta de propiedad externa 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a. Se basaron en una vulnerabilidad en “la función de devolución de llamada y _updateReserves” para manipular un contrato para que informara de valores antiguos que aún no se habían actualizado.
Era Lend es una bifurcación del proyecto Syncswap, y CertiK afirmó que otros proyectos basados en Syncswap también pueden ser vulnerables al exploit.
El detective on-chain y usuario de Twitter Spreek informó de que el código de Syncswap permite a un usuario “quemar, luego hacer una solicitud de retorno antes de que se active update_reserves”, haciendo que el oráculo informe de valores incorrectos.
in the syncswap LP tokens, one can burn, then callback before update_reserves is called. so the oracle uses an incorrect reserves value to calculate the price, resulting in an inflating oracle price. pic.twitter.com/0U7Vu7BzJM
— Spreek (@spreekaway) July 25, 2023
en los tokens LP de syncswap, uno puede grabar, luego devolver la solicitud antes de activar update_reserves. por lo que el oráculo usa un valor de reservas incorrecto para calcular el precio, lo que resulta en un precio de oráculo inflado.
Spreek también informó de que el equipo de Era Lend había reconocido el ataque y puesto en pausa los contratos zkSync del protocolo para evitar nuevos exploits.
Otro investigador de blockchain, conocido en Twitter como Saul, informó de que el ataque había afectado a la stablecoin USDC+, emitida por el protocolo Overnight Finance. Según Saul, el equipo de Overnight ha reconocido la exposición y también ha puesto en pausa sus propios contratos. Es posible que se hayan perdido más de USD 261,000, o el 7.86% del valor total de la garantía que respalda la stablecoin.
En una entrada de blog del 7 de junio en la que explicaba cómo se llevan a cabo los ataques de reentrada de solo lectura, el investigador de blockchain seudónimo Officer’s Notes afirmaba que estas vulnerabilidades son difíciles de detectar para los auditores, ya que “normalmente, los auditores y cazadores de bugs solo se preocupan de los puntos de entrada que modifican el estado cuando buscan reentradas”.
Para paliar este problema, Officer’s Notes recomienda que los auditores utilicen software especializado que les ayude a encontrar estas vulnerabilidades.
Era Lend se ejecuta en la red zkSync, una capa 2 de Ethereum a prueba de conocimiento cero. En abril, el valor total de la red bloqueada superó los USD 110 millones. Los desarrolladores de la red pretenden crear un ecosistema de cadenas interoperables denominadas “Hyperchains” para finales de año.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.