Según un informe reciente de la BlockSec , Era Lend, un protocolo de préstamo descentralizado que opera en la red zkSync Layer 2, ha sido víctima de un "ataque de reingreso de solo lectura" que resultó en una pérdida de $ 3.4 millones.
El atacante aprovechó una vulnerabilidad que permitía llamadas repetidas a una función dentro de una sola transacción, retirando más fondos de los que tenían derecho. Además, el exploit implicaba la manipulación de un trac para informar valores obsoletos que aún no se habían actualizado, aprovechando un oráculo de precios defectuoso en el que confiaba Era Lend.
El impacto y la respuesta
El ataque tuvo repercusiones en la moneda estable USDC+, emitida por el protocolo Overnight Finance, lo que resultó en una pérdida potencial de más de $261 000, lo que representa el 7,86 % del valor total de la garantía que respalda a la moneda estable.
En respuesta al ataque, Era Lend detuvo los trac para evitar más ataques. El equipo también informó a los usuarios que solo el grupo de USDC estaba comprometido. Según una declaración en Discord, el equipo de Era Lend aseguró que la seguridad de otros activos permanece intacta, pero las operaciones de préstamo en la plataforma se han detenido temporalmente.
“Hemos detectado y confirmado un ciberataque a nuestra plataforma. Queremos asegurarles que el ataque ha sido contenido y que el actor de amenazas ya no puede continuar con sus acciones”.
Equipo de préstamo de era
El exploit Era Lend ha generado preocupación por otros proyectos basados en el proyecto Syncswap, del cual Era Lend es una bifurcación. Los analistas de seguridad han advertido que estos proyectos también podrían ser susceptibles a vulnerabilidades similares. El dent subraya la necesidad de que los auditores utilicen software especializado para dent estas vulnerabilidades de manera más efectiva, ya que los ataques de reingreso de solo lectura pueden evadir el escrutinio tradicional y seguir siendo más difíciles de dent durante los procesos de auditoría.
Era Lend opera en la red zkSync, un Ethereum que utiliza pruebas de conocimiento cero. A partir de abril, el valor total bloqueado en la red zkSync superó los 110 millones de dólares. A pesar del reciente exploit, los desarrolladores de la red tienen planes ambiciosos para establecer un ecosistema de cadenas interoperables llamado "Hyperchains" para diciembre de 2023.