Era Lend Bị Exploit Với Thiệt Hại Chưa Thể Ước Tính

Era Lend (nền tảng cho vay trên hệ sinh thái zkSync Era) mới đây đã bị hacker ghé thăm. Hiện thiệt hại từ vụ việc vẫn chưa được ước tính cụ thể.

Era Lend bị exploit với thiệt hại chưa thể ước tính

Thông tin về lỗ hổng bảo mật đã được đội ngũ Era Lend xác nhận trên Twitter của dự án. Người dùng được khuyến nghị không nạp thêm USDC vào nền tảng và dự án cho biết đã chặn tính năng vay tài sản để giảm thiểu thiệt hại.

?Security Update: We've experienced a security incident on our platform today. The threat has been contained. We've suspended all borrowing operations for now and advise against depositing USDC. We're working with partners and cybersecurity firms to address this.
More updates…

— EraLend | The #1 Money Market on zkSync? (@Era_Lend) July 25, 2023

Theo những nhận định ban đầu, đây là hình thức tấn công Read Only ReEntrancy, thông qua việc kiểm soát chỉ số giá oracle. Ngoài ra, một phần lí do khiến dự án bị tấn công còn là vi cho phép sử dụng các LP token (cụ thể từ SyncSwap) làm tài sản thế chấp để thực hiện các khoản vay.

The team confirms a price oracle issue that is caused by a reentrancy with inconsistent swap pool statehttps://t.co/M0guCS0WiO https://t.co/1SV936Bjvq pic.twitter.com/CrBWE5tJb5

— PeckShield Inc. (@peckshield) July 25, 2023

Era Lend (với tên gọi là Nexon Finance trước đây) là một trong những nền tảng lending phát triển sớm nhất trên hệ sinh thái zkSync Era. Đáng chú ý, chính Peckshield cũng là đơn vị đã đứng ra audit cho sản phẩm này trước đó.

Một đơn vị quản lý tài sản trên hệ sinh thái zkSync là Overnight Finance cũng bị ảnh hưởng từ vụ việc này, khi dự án đã gửi khoảng 800.000 USDC tài sản thế chấp và vay 524.000 USD.

From my calculations, @overnight_fi had 786,162 USDC in eraLend and borrowed ~283.0596 ETH (524,509 USD), so the maximum loss is ~261,652 USD.

With USD+'s supply of 3,330,769 USD+, that's a maximum loss of ~7.86%.

— Saul (@SaulCapital) July 25, 2023

Ở thời điêm bài viết, con số thiệt hại ước tính dao động trong khoảng 2 triệu USD. Tuy nhiên, con số này hoàn toàn có thể tăng trong thời gian tới và sau khi dự án công bố các báo cáo chi tiết về vụ việc.

Cập nhật:

Theo những chia sẻ từ BlockSec, đội ngũ đã hỗ trợ tìm ra nguyên nhân và ước tính thiệt hại hiện dao động trong khoảng 3,4 triệu USD.

We are assisting @Era_Lend to this issue, and the root cause has been identified. The total loss is ~$3.4M.
Specifically, this is a read-only re-entrancy attack.
Another attack tx is:https://t.co/H4A2suVLai
Attacker address:
0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a https://t.co/InhCCW7QAy

— BlockSec (@BlockSecTeam) July 25, 2023

Coincuatui tổng hợp

Nguồn: Coin68