EraLend, protokol peminjaman terdesentralisasi yang beroperasi pada zkSync Layer 2, telah menjadi korban eksploitasi yang mengakibatkan kerugian sebesar $3,4 juta. Serangan itudikonfirmasi oleh analis keamanan di BlockSec, yang telah membantu protokol dalam mengatasi masalah tersebut.
Setelah serangan itu, EraLend mengeluarkan apenyataan mengakui insiden keamanan dan meyakinkan penggunanya bahwa ancaman telah diatasi. Protokol telah menangguhkan semua operasi peminjaman dan menyarankan pengguna agar tidak menyetor USDC hingga pemberitahuan lebih lanjut.
Serangan Re-Entrancy Menyerang EraLend
Menurut BlockSec, serangan itu adalah serangan re-entrancy read-only. Serangan ini melibatkan aktor jahat yang berulang kali masuk dan keluar dari fungsi kontrak untuk memanipulasi status kontrak dan menarik dana.
Serangan reentrancy adalah eksploit yang dapat terjadi dalam kontrak pintar, yang merupakan program komputer yang mengeksekusi sendiri yang berjalan di jaringan blockchain terdesentralisasi seperti Ethereum.
Dalam serangan reentrancy, pengguna jahat mengeksploitasi kerentanan dalam kontrak pintar dengan berulang kali memanggil fungsi dalam kontrak sebelum panggilan fungsi sebelumnya selesai, memungkinkan mereka untuk memanipulasi status kontrak dan berpotensi mencuri dana.
Saat fungsi smart contract dipanggil, status kontrak diperbarui sebelum pemanggilan fungsi selesai. Misalkan fungsi yang dipanggil berinteraksi dengan kontrak kedua sebelum pemanggilan fungsi pertama selesai. Dalam hal ini, kontrak kedua dapat memanggil kembali ke fungsi kontrak pertama, berpotensi mengubah status kontrak beberapa kali sebelum pemanggilan fungsi asli selesai.
Ini dapat memungkinkan penyerang untuk memanipulasi status kontrak dan mencuri dana.
Untuk mencegah serangan reentrancy, pengembang dapat menggunakan teknik yang disebut "interaksi efek pemeriksaan." Ini berarti bahwa smart contract harus selalu memeriksa semua input dan kondisi sebelum menjalankan perubahan status apa pun, lalu menjalankan semua perubahan status sebelum berinteraksi dengan kontrak lainnya.
Ini memastikan status kontrak diperbarui sebelum interaksi eksternal terjadi, mencegah serangan reentrancy. Dalam kasus ini, penyerang mengeksploitasi kerentanan dalam kode kontrak EraLend yang berulang kali memungkinkan mereka menarik dana tanpa sepengetahuan protokol.
EraLend telah mengidentifikasi akar penyebab serangan tersebut dan bekerja sama dengan mitra dan perusahaan keamanan siber untuk mengatasi masalah tersebut. Protokol telah meyakinkan pengguna bahwa mereka akan mengambil semua langkah yang diperlukan untuk mengurangi dampak serangan dan mencegah insiden serupa terjadi di masa mendatang.
Meskipun belum ada pembaruan lebih lanjut, jelas bahwa EraLend berkomitmen untuk mempertahankan standar keamanan tertinggi dan mengambil tindakan proaktif untuk melindungi dana dan data penggunanya.
Total kapitalisasi pasar kripto turun pada grafik 1 hari, kehilangan $300 juta selama 2 hari terakhir. Sumber:TOTAL di TradingView.com