في الخامس والعشرين من يوليو ، تعرضت EraLend لهجوم عودة سمح لممثل سيء مجهول بسرقة ما قيمته 25 مليون دولار من العملات المشفرة.
يعد هجوم إعادة الدخول ، وهو نوع من الهجمات الإلكترونية التي تؤثر على العقود الذكية ، أحد أكثر الثغرات شيوعًا ضد بروتوكولات DeFi.
في ذلك ، يحدد الفاعل السيئ ثغرة أمنية في رمز العقد الذكي من أجل استدعاء وظيفة بشكل متكرر في العقد قبل إكمال استدعاء الوظيفة السابق. عند تنفيذها (im) بشكل صحيح ، يمكن أن تتلاعب استدعاءات الوظائف بسعر الرموز المميزة في العقد الذكي ، مما يسمح للمهاجم بالانسحاب من البروتوكول أكثر مما ينبغي.
استغلال عدم وجود Oracles
يُزعم أن EraLend (وفقًا لبياناتهم الخاصة موقع الكتروني) بروتوكول الإقراض اللامركزي zkSync منخفض المخاطر المعروف سابقًا باسم Nexon Finance ، تجنب استخدام أوراكل ، مدعيا أن هذا جعلها أقل خطورة.
"منصة الإقراض الخاصة بنا أقل خطورة لأنها لا تعتمد على أوراكل والتصفية (السيولة الخارجية)."
لسوء حظهم - أو بالأحرى ، لمستخدميهم التعساء - تم اختبار تسويقهم ووجدوا أنه غير كافٍ.
إعلان
منذ مهاجمة، والتي استهدفت مخزون USDC الخاص بالمنصة ، تم تعليق جميع عمليات الاقتراض. علاوة على ذلك ، نصح مطورو EraLend مجتمعهم بعدم إيداع USDC على المنصة حتى تتم معالجة المشكلة.
🚨 تحديث الأمان: لقد واجهنا حادثًا أمنيًا على نظامنا الأساسي اليوم. تم احتواء التهديد. لقد قمنا بتعليق جميع عمليات الاقتراض في الوقت الحالي وننصح بعدم إيداع USDC. نحن نعمل مع الشركاء وشركات الأمن السيبراني لمعالجة هذا الأمر.
المزيد من التحديثات ...- EraLend | # 1 سوق المال على zkSync🥇 (Era_Lend) 25 تموز، 2023
شركات الأمن السيبراني في القضية
من أجل مساعدة مطوري EraLend في استعادة نظامهم الأساسي - وربما حتى الكشف عن هوية الشخص الذي يقف وراء الهجوم - كان العديد من شركات الأمن السيبراني وشركاء آخرين على اتصال. أكدت BlockSec تورطها في تشريح ما بعد الهجوم.
نحن نساعد تضمين التغريدة لهذه المشكلة ، وتم تحديد السبب الجذري. الخسارة الإجمالية ~ 3.4 مليون دولار.
على وجه التحديد ، هذا هو هجوم إعادة الدخول للقراءة فقط.
هجوم آخر TX هو:https://t.co/H4A2suVLai
عنوان المهاجم:
0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a https://t.co/InhCCW7QAy- بلوكسيك (BlockSecTeam) 25 تموز، 2023
تم الإعلان عن الثغرة في الأصل من قبل باحثين في مجال الأمن السيبراني سبريك و شاول. لا يزال من غير المؤكد ما إذا كانت الخسارة الإجمالية للقيمة قد توقفت عند 3.4 مليون دولار.
"يبدو أن السبب المحتمل هو عودة الدخول للقراءة فقط التي تؤثر على تسعير رمز LP. لست متأكدًا من حجم الاختراق ، فقد يكون أكبر من ذلك بكثير. ما زلت أحاول اكتشاف هذا التمزق في مستكشف كتلة البساط ".
على الرغم من أن المبلغ المسروق يتضاءل مقارنة بالقرصنة مثل تلك التي تؤثر على Ronin أو Harmony ، فإن كل جزء من العملات المشفرة التي يتم تمريرها يتراكم.
في العام الماضي ، كسر المبلغ الإجمالي للقيمة المسروقة من مستثمري العملات المشفرة حاجز بقيمة 10 مليارات دولار بمجرد أخذ عمليات الاحتيال الاستثمارية والاحتيال المباشر والمخططات الخبيثة الأخرى في الاعتبار. يعتبر هجوم اليوم بمثابة تذكير آخر لإجراء البحث الخاص بك قبل استثمار أموالك التي كسبتها بشق الأنفس في أي منصة.
Binance Free 100 دولار (حصري): استخدم هذا الرابط للتسجيل والحصول على 100 دولار مجانًا و 10٪ خصم على رسوم Binance Futures الشهر الأول (سياسة الحجب وتقييد الوصول).
عرض PrimeXBT الخاص: استخدم هذا الرابط للتسجيل وإدخال رمز CRYPTOPOTATO50 لتلقي ما يصل إلى 7,000 دولار على ودائعك.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
- المصدر https://cryptopotato.com/crypto-lending-protocol-eralend-hacked-to-the-tune-of-3-4-million/