Noticias de criptomonedas

“Se explotó Era Lend en zkSync por $3.4 millones en un ataque de reentrancia.”

“La aplicación de préstamos fue despojada de fondos mediante un error de “reentrancia de solo lectura”, un tipo de vulnerabilidad que a menudo es difícil de detectar para los auditores.”

“La aplicación de préstamos Era Lend en zkSync ha sido explotada por valor de $3.4 millones de criptomonedas, según un informe del 25 de julio de la empresa de seguridad blockchain CertiK. El atacante utilizó un “ataque de reentrancia de solo lectura” para vaciar los fondos, que es un tipo de ataque que interrumpe un proceso de varios pasos y luego lo hace continuar después de que se ha realizado una acción malintencionada. Específicamente, una reentrancia “de solo lectura” es aquella que no actualiza el estado de un contrato.”

CertiKSkynetAlert

Estamos viendo informes que indican que @Era_Lend ha sido explotado en zkSync

Las pérdidas totales parecen ser de $3.4 millones en un ataque de reentrancia de solo lectura

Ver más abajo https://t.co/h8xrjccE5i

  • Alerta CertiK (@CertiKAlert) 25 de julio de 2023

Según el informe, el atacante vació los fondos en dos transacciones separadas utilizando la cuenta externa 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a. El atacante se basó en una vulnerabilidad en “la función de devolución de llamada y _updateReserves” para manipular un contrato y hacer que informara valores antiguos que aún no se habían actualizado.

Era Lend es una bifurcación del proyecto Syncswap, y CertiK afirmó que otros proyectos basados en Syncswap también pueden ser vulnerables a la explotación.

El investigador en cadena y usuario de Twitter Spreek informó que el código de Syncswap permite a un usuario “quemar, luego llamar de vuelta antes de que se llame a update_reserves”, lo que hace que el oráculo informe valores incorrectos.

“En los tokens LP de Syncswap, uno puede quemar, luego llamar de vuelta antes de que se llame a update_reserves. Así que el oráculo utiliza un valor de reserva incorrecto para calcular el precio, lo que resulta en un precio del oráculo inflado.” pic.twitter.com/0U7Vu7BzJM

  • Spreek (@spreekaway) 25 de julio de 2023

Spreek también informó que el equipo de Era Lend había reconocido el ataque y había pausado los contratos de zkSync del protocolo para evitar más explotaciones.

Otro investigador de blockchain, conocido en Twitter como Saul, informó que el ataque había afectado a la stablecoin USDC+, que es emitida por el protocolo Overnight Finance. Según Saul, el equipo de Overnight ha reconocido la exposición y también ha pausado sus propios contratos. Se pueden haber perdido más de $261,000, o el 7,86% del valor total de la garantía que respalda la stablecoin.

En una publicación de blog del 7 de junio que explica cómo se llevan a cabo los ataques de reentrancia de solo lectura, el investigador de blockchain pseudónimo Officer’s Notes declaró que estas vulnerabilidades son difíciles de detectar para los auditores, ya que “típicamente, los auditores y cazadores de errores solo se preocupan por los puntos de entrada que modifican el estado cuando buscan la reentrancia”.

Para ayudar a aliviar este problema, Officer’s Notes recomienda que los auditores usen software especializado para ayudarlos a encontrar estas vulnerabilidades.

Era Lend funciona en la red zkSync, un rollup de capa 2 de prueba de conocimiento cero de Ethereum. En abril, el valor total bloqueado en la red superó los $110 millones. Los desarrolladores de la red tienen la intención de crear un ecosistema de cadenas interoperables llamado “Hyperchains” para fin de año.

Related Articles

Leave a Reply

Back to top button
WP Twitter Auto Publish Powered By : XYZScripts.com