Era Lend en zkSync explotado por 3,4 millones de dólares en un ataque de reentrada
La solicitud de préstamo se vació de fondos mediante un error de "reentrada de solo lectura", un tipo de vulnerabilidad que a menudo es difícil de detectar para los auditores.
Noticias
Únase a nosotros en las redes sociales
La aplicación de préstamos Era Lend en zkSync ha sido extraída por valor de USD 3,4 millones en criptomonedas, según un informe del 25 de julio de la firma de seguridad de cadenas de bloques CertiK. El atacante usó un "ataque de reingreso de solo lectura" para drenar fondos, que es un tipo de ataque que interrumpe un proceso de varios pasos y luego hace que continúe después de que se haya realizado una acción maliciosa. Específicamente, una reentrada de "solo lectura" es aquella que no actualiza el estado de un contrato.
#CertiKSkynetAlert
Vemos informes de que @Era_Lend ha sido explotado en zkSync
Las pérdidas totales parecen ser de 3,4 millones de dólares en un ataque de reingreso de solo lectura
Vea más abajo https://t.co/h8xrjccE5i
– Alerta CertiK (@CertiKAlert) 25 de julio de 2023Según el informe, el atacante extrajo fondos en dos transacciones separadas, usando la cuenta externa 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a. Se basaron en una vulnerabilidad en la "función de devolución de llamada y _updateReserves" para manipular un contrato para informar valores antiguos que aún no se habían actualizado.
Era Lend es una bifurcación del proyecto Syncswap, y CertiK ha afirmado que otros proyectos basados en Syncswap también pueden ser vulnerables al exploit.
Chain sleuth y el usuario de Twitter Spreek informaron que el código Syncswap permite a un usuario "grabar y luego volver a llamar antes de que se llame a update_reserves", lo que hace que el oráculo informe valores incorrectos.
en los tokens LP de syncswap uno puede grabar y luego recuperar antes de llamar a update_reserves. entonces el oráculo usa un valor de reserva incorrecto para calcular el precio, lo que hace que el precio del oráculo se infle. pic.twitter.com/0U7Vu7BzJM
— Spreek (@spre...
La solicitud de préstamo se vació de fondos mediante un error de "reentrada de solo lectura", un tipo de vulnerabilidad que a menudo es difícil de detectar para los auditores.
Noticias
Únase a nosotros en las redes sociales
La aplicación de préstamos Era Lend en zkSync ha sido extraída por valor de USD 3,4 millones en criptomonedas, según un informe del 25 de julio de la firma de seguridad de cadenas de bloques CertiK. El atacante usó un "ataque de reingreso de solo lectura" para drenar fondos, que es un tipo de ataque que interrumpe un proceso de varios pasos y luego hace que continúe después de que se haya realizado una acción maliciosa. Específicamente, una reentrada de "solo lectura" es aquella que no actualiza el estado de un contrato.
#CertiKSkynetAlert
Vemos informes de que @Era_Lend ha sido explotado en zkSync
Las pérdidas totales parecen ser de 3,4 millones de dólares en un ataque de reingreso de solo lectura
Vea más abajo https://t.co/h8xrjccE5i
– Alerta CertiK (@CertiKAlert) 25 de julio de 2023Según el informe, el atacante extrajo fondos en dos transacciones separadas, usando la cuenta externa 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a. Se basaron en una vulnerabilidad en la "función de devolución de llamada y _updateReserves" para manipular un contrato para informar valores antiguos que aún no se habían actualizado.
Era Lend es una bifurcación del proyecto Syncswap, y CertiK ha afirmado que otros proyectos basados en Syncswap también pueden ser vulnerables al exploit.
Chain sleuth y el usuario de Twitter Spreek informaron que el código Syncswap permite a un usuario "grabar y luego volver a llamar antes de que se llame a update_reserves", lo que hace que el oráculo informe valores incorrectos.
en los tokens LP de syncswap uno puede grabar y luego recuperar antes de llamar a update_reserves. entonces el oráculo usa un valor de reserva incorrecto para calcular el precio, lo que hace que el precio del oráculo se infle. pic.twitter.com/0U7Vu7BzJM
— Spreek (@spre...What's Your Reaction?
