DeFi-протокол EraLend подвергся взлому на $3,4 млн
Злоумышленник атаковал лендинговый протокол EraLend в сети zkSync Era, украв цифровые активы на сумму $3,4 млн.
Представители проекта подтвердили взлом. Разработчики приостановили все кредитные операции и рекомендовали пользователям не вносить новые депозиты.
Сейчас команда EraLend взаимодействует с компанией по безопасности BlockSec для расследования инцидента.
Вероятно, хакер использовал эксплойт «повторного входа только для чтения» на DEX SynсSwap. Это позволило взломщику манипулировать ценовым оракулом для вывода «обернутых» ETH и USDC.
«Злоумышленник изменил цену токенов ликвидности во время действий SyncSwap по сжиганию или выпуску [монет], используя свои резервы для назначения собственного курса. Все проекты, использующие код затронутой биржи, должны оставаться начеку», — подчеркнули в BlockSec.
Согласно данным L2BEAT, с 5 июля общая заблокированная стоимость в L2-сети zkSync Era за последние 20 дней упала с $735 млн до $437 млн — на 40%. За тот же период показатель конкурента Starknet увеличился на 80%, с $71 млн до $128 млн.
Напомним, в июле хакер вывел из DeFi-протокола Rodeo Finance $1,5 млн посредством манипуляций с оракулом.
Позднее злоумышленник атаковал проект Alphapo. Убытки от взлома составили около $60 млн.
За первое полугодие 2023 года криптоиндустрия столкнулась с 395 взломами, потеряв в результате около $479,4 млн.
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!