Op 25 juli werd EraLend getroffen door een herintredingsaanval waardoor een onbekende slechterik er vandoor ging met ongeveer $3.4 miljoen aan cryptovaluta.

Een re-entrancy-aanval, een soort cyberaanval die van invloed is op slimme contracten, is een van de meest voorkomende exploits tegen DeFi-protocollen.

Daarin identificeert een slechte actor een beveiligingsprobleem in de code van een slim contract om herhaaldelijk een functie binnen het contract aan te roepen voordat een eerdere functieaanroep is voltooid. Wanneer deze functieaanroepen (on)juist worden uitgevoerd, kunnen ze de prijs van tokens binnen het slimme contract manipuleren, waardoor de aanvaller zich veel meer uit het protocol kan terugtrekken dan mogelijk zou moeten zijn.

Gebrek aan uitgebuite orakels

EraLend, een naar verluidt (volgens hun eigen van de) laag risico zkSync gedecentraliseerd uitleenprotocol, voorheen bekend als Nexon Finance, schuwde het gebruik van orakels en beweerde dat dit ze minder riskant maakte.

“Ons uitleenplatform is minder risicovol omdat het niet afhankelijk is van orakel en liquidatie (externe liquiditeit).”

Helaas voor hen – of beter gezegd, voor hun onfortuinlijke gebruikers – werd hun marketing op de proef gesteld en te licht bevonden.

Aangezien de aanvallen, die gericht was op de USDC-voorraad van het platform, zijn alle leenoperaties opgeschort. Bovendien adviseerden de EraLend-ontwikkelaars hun gemeenschap om geen USDC op het platform te deponeren totdat het probleem is verholpen.

🚨Beveiligingsupdate: we hebben vandaag een beveiligingsincident op ons platform ervaren. De dreiging is ingeperkt. We hebben alle uitleenactiviteiten voorlopig opgeschort en raden af ​​om USDC te storten. We werken samen met partners en cyberbeveiligingsbedrijven om dit aan te pakken.
Meer updates…

— EraLend | De nummer 1 geldmarkt op zkSync🥇 (@Era_Lend) 25 juli 2023

Cyberbeveiligingsbedrijven in de zaak

Om EraLend-ontwikkelaars te helpen hun platform weer op orde te krijgen – en misschien zelfs de identiteit van de persoon achter de aanval te achterhalen – hebben verschillende cyberbeveiligingsbedrijven en andere partners contact opgenomen. BlockSec heeft zijn betrokkenheid bij de post-mortem aanval bevestigd.

Wij assisteren @Era_Lend dit probleem en de oorzaak is geïdentificeerd. Het totale verlies is ~ $ 3.4 miljoen.
Concreet is dit een alleen-lezen herintredingsaanval.
Een andere aanval tx is:https://t.co/H4A2suVLai
Adres aanvaller:
0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a https://t.co/InhCCW7QAy

— BlockSec (@BlockSecTeam) 25 juli 2023

De exploit werd oorspronkelijk aangekondigd door cybersecurity-onderzoekers Spreektaal en Saul. Het is nog niet bevestigd of het totale waardeverlies stopte bij $ 3.4 miljoen.

“Blijkbaar is de waarschijnlijke oorzaak een alleen-lezen terugkeer die van invloed is op de LP-tokenprijzen. niet zeker over de grootte van de hack, kan veel groter zijn. nog steeds bezig met het uitzoeken van deze rip van de ontdekkingsreiziger van het vloerkleed.

Hoewel het gestolen bedrag verbleekt in vergelijking met hacks zoals die met betrekking tot de Ronin of Harmony, klopt elk stukje cryptovaluta.

Vorig jaar brak het totale bedrag aan waarde dat werd gestolen van crypto-investeerders Barrière van $ 10 miljard zodra er rekening werd gehouden met investeringszwendel, regelrechte fraude en andere kwaadwillende plannen. De aanval van vandaag dient als zoveelste herinnering om je eigen onderzoek te doen voordat je je zuurverdiende geld in een platform investeert.