Крупнейший протокол кредитования в zkSync взломали на $3,4 млн

Крупнейший протокол кредитования в блокчейне zkSync — EraLend — подвергся эксплойту «повторного входа только для чтения» на $3,4 млн.

Ошибка «повторного входа только для чтения» на децентрализованной бирже (DEX) SynсSwap позволила злоумышленнику манипулировать ценами, заполняя смарт-контракт повторными вызовами для кражи активов. Взломщик EraLend нацелился на уязвимость в смарт-контракте проекта, который контролирует функции сжигания и чеканки токенов, используемые для кредитования и заимствования по протоколу.

Согласно данным DefiLlama, общая сумма капитала, заблокированного в EraLend, упала почти в три раза после атаки хакера — до $6,96 млн с $18,5 млн.

Представители EraLend подтвердили инцидент с безопасностью на платформе. Однако они заверили, что хакерская угроза уже ликвидирована.

«На данный момент мы приостановили все операции по заимствованию и советуем не вносить депозиты в USDC. Мы работаем с партнерами и фирмами по кибербезопасности, чтобы решить эту проблему. Дополнительные обновления мы сообщим позднее», — говорится в сообщении.

Среди других протоколов, подвергшихся атакам в этом месяце, оказались в том числе AnubisDAO, Rodeo Finance, ArcadiaFi и Conic Finance. Последний столкнулся с аналогичной EraLend проблемой: причиной атаки стало манипулирование ценами, вызванное «повторным входом только для чтения». 

В результате протокол децентрализованных финансов (DeFi) Conic Finance потерял 1700 Ether (ETH) на сумму более $3,6 млн по текущим ценам. Атака затронула один из его омнипулов.

Всего за первую половину года общие потери от взломов, фишинговых афер и раг-пуллов составили $655,61 млн. Хакеры совершили 108 атак на протоколы, 110 раг пуллов и ряд фишинговых афер и присвоили $471,43 млн, $75,87 млн и $108 млн соответственно.

Кроме того, с начала года хакеры смогли отмыть около $244,5 млн в криптовалюте за первую половину 2023 года. Больше всего злоумышленники отмыли в рамках взлома кросс-чейн моста Harmony Bridge (около $100 млн). На втором месте расположился инцидент вокруг кошелька Atomic Wallet с $65 млн. Тройку лидеров замкнул проект Uranium Finance, который лишился $12,8 млн в криптовалюте.