Era Lend на zkSync используется для повторной атаки на 3,4 миллиона долларов
Средства из кредитного приложения были выведены из-за ошибки "повторного входа только для чтения" — уязвимости, которую аудиторам часто трудно обнаружить.
![Era Lend на zkSync был использован для повторной атаки на 3,4 миллиона долларов](https://images.cointelegraph.com/images/1434_aHR0cHM6Ly9zMy5jb2ludGVsZWdyYXBoLmNvbS91cGxvYWRzLzIwMjMtMDcvNzJlMmQzZTktNjYzOC00MjU 1LWJlYzAtOThlZWRmMGUyM2 YxL mpwZw==.jpg)
Согласно отчету компании CertiK, занимающейся безопасностью блокчейнов, от 25 июля приложение для кредитования Era Lend на zkSync было добыто в криптовалюте на сумму 3,4 миллиона долларов. Злоумышленник использовал «атаку с повторным входом только для чтения» для выкачивания средств, которая является типом атаки, которая прерывает многоэтапный процесс, а затем заставляет его продолжаться после выполнения вредоносного действия. В частности, повторный вход только для чтения — это повторный вход, при котором состояние контракта не обновляется.
#CertiKSkynetAlert
Мы видим сообщения об использовании @Era_Lend в zkSync
По всей видимости, общий ущерб от повторной атаки только для чтения составляет 3,4 млн долларов
Подробнее см. ниже https://t.co/h8xrjccE5i
— Предупреждение CertiK (@CertiKAlert) 25 июля 2023 г.Согласно отчету, злоумышленник вывел средства двумя отдельными транзакциями, используя внешний аккаунт 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a. Злоумышленник использовал уязвимость в «функции обратного вызова и _updateReserves», чтобы манипулировать контрактом, чтобы сообщать о старых значениях, которые еще не были обновлены.
Era Lend — это ответвление проекта Syncswap, и CertiK утверждает, что другие проекты, основанные на Syncswap, также могут быть уязвимы для эксплойта.
Сетевой сыщик и пользователь Твиттера Spreek сообщил, что код Syncswap позволяет пользователю "сжечь, а затем снова вызвать перед вызовом update_reserves", в результате чего оракул сообщает неверные значения.
в токенах syncswap LP можно записать, а затем отозвать до вызова update_reserves. поэтому оракул использует неправильное значение резерва для расчета цены, что приводит к завышению цены оракула. pic.twitter.com/0U7Vu7BzJM
— Сприк (@spreekaway)![Era Lend на zkSync используется для повторной атаки на 3,4 миллиона долларов](https://images.cointelegraph.com/cdn-cgi/image/format=auto,onerror=redirect,quality=90,width=840/https://s3.cointelegraph.com/uploads/2023-07/72e2d3e9-6638-4255-bec0-98eedf0e23f1.jpg?#)
Средства из кредитного приложения были выведены из-за ошибки "повторного входа только для чтения" — уязвимости, которую аудиторам часто трудно обнаружить.
![Era Lend на zkSync был использован для повторной атаки на 3,4 миллиона долларов](https://images.cointelegraph.com/images/1434_aHR0cHM6Ly9zMy5jb2ludGVsZWdyYXBoLmNvbS91cGxvYWRzLzIwMjMtMDcvNzJlMmQzZTktNjYzOC00MjU 1LWJlYzAtOThlZWRmMGUyM2 YxL mpwZw==.jpg)
Согласно отчету компании CertiK, занимающейся безопасностью блокчейнов, от 25 июля приложение для кредитования Era Lend на zkSync было добыто в криптовалюте на сумму 3,4 миллиона долларов. Злоумышленник использовал «атаку с повторным входом только для чтения» для выкачивания средств, которая является типом атаки, которая прерывает многоэтапный процесс, а затем заставляет его продолжаться после выполнения вредоносного действия. В частности, повторный вход только для чтения — это повторный вход, при котором состояние контракта не обновляется.
#CertiKSkynetAlert
Мы видим сообщения об использовании @Era_Lend в zkSync
По всей видимости, общий ущерб от повторной атаки только для чтения составляет 3,4 млн долларов
Подробнее см. ниже https://t.co/h8xrjccE5i
— Предупреждение CertiK (@CertiKAlert) 25 июля 2023 г.Согласно отчету, злоумышленник вывел средства двумя отдельными транзакциями, используя внешний аккаунт 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a. Злоумышленник использовал уязвимость в «функции обратного вызова и _updateReserves», чтобы манипулировать контрактом, чтобы сообщать о старых значениях, которые еще не были обновлены.
Era Lend — это ответвление проекта Syncswap, и CertiK утверждает, что другие проекты, основанные на Syncswap, также могут быть уязвимы для эксплойта.
Сетевой сыщик и пользователь Твиттера Spreek сообщил, что код Syncswap позволяет пользователю "сжечь, а затем снова вызвать перед вызовом update_reserves", в результате чего оракул сообщает неверные значения.
в токенах syncswap LP можно записать, а затем отозвать до вызова update_reserves. поэтому оракул использует неправильное значение резерва для расчета цены, что приводит к завышению цены оракула. pic.twitter.com/0U7Vu7BzJM
— Сприк (@spreekaway)What's Your Reaction?
![like](https://vidianews.com/assets/img/reactions/like.png)
![dislike](https://vidianews.com/assets/img/reactions/dislike.png)
![love](https://vidianews.com/assets/img/reactions/love.png)
![funny](https://vidianews.com/assets/img/reactions/funny.png)
![angry](https://vidianews.com/assets/img/reactions/angry.png)
![sad](https://vidianews.com/assets/img/reactions/sad.png)
![wow](https://vidianews.com/assets/img/reactions/wow.png)