Era Lend на zkSync використано для 3,4 мільйона доларів у атаці повторного входу
Програму кредитування було виснажено через помилку «повторного входу лише для читання» — тип вразливості, який часто важко помітити аудиторам.
Новини
Приєднуйтесь до нас в соціальних мережах
Програма кредитування Era Lend на zkSync видобула крипто на суму 3,4 мільйона доларів, згідно зі звітом від 25 липня фірми безпеки блокчейну CertiK. Зловмисник використовував «атаку повторного входу лише для читання», щоб вичерпати кошти, що є типом атаки, який перериває багатоетапний процес, а потім змушує його продовжувати після виконання зловмисної дії. Зокрема, повторне входження «лише для читання» не оновлює стан контракту.
#CertiKSkynetAlert
Ми бачимо звіти про те, що @Era_Lend було використано на zkSync
Загальні збитки становлять 3,4 мільйона доларів США через атаку повторного входу лише для читання
Докладніше дивіться нижче https://t.co/h8xrjccE5i
— Сповіщення CertiK (@CertiKAlert) 25 липня 2023 рЗгідно зі звітом, зловмисник викачував кошти у двох окремих транзакціях, використовуючи зовнішній рахунок 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a. Зловмисник використав уразливість у «функції зворотного виклику та _updateReserves», щоб маніпулювати контрактом, щоб повідомити про старі значення, які ще не оновлено.
Era Lend є розгалуженням проекту Syncswap, і CertiK стверджує, що інші проекти на основі Syncswap також можуть бути вразливими до експлойту.
Мережевий детектив і користувач Twitter Spreek повідомили, що код Syncswap дозволяє користувачеві «записувати, а потім знову викликати перед викликом update_reserves», змушуючи оракул повідомляти про неправильні значення.
у токенах syncswap LP можна записати, а потім відкликати перед викликом update_reserves. тому оракул використовує неправильне резервне значення для розрахунку ціни, що спричиняє завищення ціни оракула. pic.twitter.com/0U7Vu7BzJM
— Spreek (@spreekaway)
Програму кредитування було виснажено через помилку «повторного входу лише для читання» — тип вразливості, який часто важко помітити аудиторам.
Новини
Приєднуйтесь до нас в соціальних мережах
Програма кредитування Era Lend на zkSync видобула крипто на суму 3,4 мільйона доларів, згідно зі звітом від 25 липня фірми безпеки блокчейну CertiK. Зловмисник використовував «атаку повторного входу лише для читання», щоб вичерпати кошти, що є типом атаки, який перериває багатоетапний процес, а потім змушує його продовжувати після виконання зловмисної дії. Зокрема, повторне входження «лише для читання» не оновлює стан контракту.
#CertiKSkynetAlert
Ми бачимо звіти про те, що @Era_Lend було використано на zkSync
Загальні збитки становлять 3,4 мільйона доларів США через атаку повторного входу лише для читання
Докладніше дивіться нижче https://t.co/h8xrjccE5i
— Сповіщення CertiK (@CertiKAlert) 25 липня 2023 рЗгідно зі звітом, зловмисник викачував кошти у двох окремих транзакціях, використовуючи зовнішній рахунок 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a. Зловмисник використав уразливість у «функції зворотного виклику та _updateReserves», щоб маніпулювати контрактом, щоб повідомити про старі значення, які ще не оновлено.
Era Lend є розгалуженням проекту Syncswap, і CertiK стверджує, що інші проекти на основі Syncswap також можуть бути вразливими до експлойту.
Мережевий детектив і користувач Twitter Spreek повідомили, що код Syncswap дозволяє користувачеві «записувати, а потім знову викликати перед викликом update_reserves», змушуючи оракул повідомляти про неправильні значення.
у токенах syncswap LP можна записати, а потім відкликати перед викликом update_reserves. тому оракул використовує неправильне резервне значення для розрахунку ціни, що спричиняє завищення ціни оракула. pic.twitter.com/0U7Vu7BzJM
— Spreek (@spreekaway)What's Your Reaction?
