Era Lend на zkSync используется для повторной атаки на 3,4 миллиона долларов
Средства из кредитного приложения были выведены из-за ошибки "повторного входа только для чтения" — уязвимости, которую аудиторам часто трудно обнаружить.
Новости
Присоединяйтесь к нам в социальных сетях
Согласно отчету компании CertiK, занимающейся безопасностью блокчейнов, от 25 июля приложение для кредитования Era Lend на zkSync было добыто в криптовалюте на сумму 3,4 миллиона долларов. Злоумышленник использовал «атаку с повторным входом только для чтения» для выкачивания средств, которая является типом атаки, которая прерывает многоэтапный процесс, а затем заставляет его продолжаться после выполнения вредоносного действия. В частности, повторный вход только для чтения — это повторный вход, при котором состояние контракта не обновляется.
#CertiKSkynetAlert
Мы видим сообщения об использовании @Era_Lend в zkSync
По всей видимости, общий ущерб от повторной атаки только для чтения составляет 3,4 млн долларов
Подробнее см. ниже https://t.co/h8xrjccE5i
— Предупреждение CertiK (@CertiKAlert) 25 июля 2023 г.Согласно отчету, злоумышленник вывел средства двумя отдельными транзакциями, используя внешний аккаунт 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a. Злоумышленник использовал уязвимость в «функции обратного вызова и _updateReserves», чтобы манипулировать контрактом, чтобы сообщать о старых значениях, которые еще не были обновлены.
Era Lend — это ответвление проекта Syncswap, и CertiK утверждает, что другие проекты, основанные на Syncswap, также могут быть уязвимы для эксплойта.
Сетевой сыщик и пользователь Твиттера Spreek сообщил, что код Syncswap позволяет пользователю "сжечь, а затем снова вызвать перед вызовом update_reserves", в результате чего оракул сообщает неверные значения.
в токенах syncswap LP можно записать, а затем отозвать до вызова update_reserves. поэтому оракул использует неправильное значение резерва для расчета цены, что приводит к завышению цены оракула. pic.twitter.com/0U7Vu7BzJM
— Сприк (@spreekaway)
Средства из кредитного приложения были выведены из-за ошибки "повторного входа только для чтения" — уязвимости, которую аудиторам часто трудно обнаружить.
Новости
Присоединяйтесь к нам в социальных сетях
Согласно отчету компании CertiK, занимающейся безопасностью блокчейнов, от 25 июля приложение для кредитования Era Lend на zkSync было добыто в криптовалюте на сумму 3,4 миллиона долларов. Злоумышленник использовал «атаку с повторным входом только для чтения» для выкачивания средств, которая является типом атаки, которая прерывает многоэтапный процесс, а затем заставляет его продолжаться после выполнения вредоносного действия. В частности, повторный вход только для чтения — это повторный вход, при котором состояние контракта не обновляется.
#CertiKSkynetAlert
Мы видим сообщения об использовании @Era_Lend в zkSync
По всей видимости, общий ущерб от повторной атаки только для чтения составляет 3,4 млн долларов
Подробнее см. ниже https://t.co/h8xrjccE5i
— Предупреждение CertiK (@CertiKAlert) 25 июля 2023 г.Согласно отчету, злоумышленник вывел средства двумя отдельными транзакциями, используя внешний аккаунт 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a. Злоумышленник использовал уязвимость в «функции обратного вызова и _updateReserves», чтобы манипулировать контрактом, чтобы сообщать о старых значениях, которые еще не были обновлены.
Era Lend — это ответвление проекта Syncswap, и CertiK утверждает, что другие проекты, основанные на Syncswap, также могут быть уязвимы для эксплойта.
Сетевой сыщик и пользователь Твиттера Spreek сообщил, что код Syncswap позволяет пользователю "сжечь, а затем снова вызвать перед вызовом update_reserves", в результате чего оракул сообщает неверные значения.
в токенах syncswap LP можно записать, а затем отозвать до вызова update_reserves. поэтому оракул использует неправильное значение резерва для расчета цены, что приводит к завышению цены оракула. pic.twitter.com/0U7Vu7BzJM
— Сприк (@spreekaway)What's Your Reaction?
