Khai thác EraLend: Tin tặc đánh cắp 3,4 triệu đô la từ giao thức cho vay zkSync

EraLend, một giao thức cho vay phi tập trung hoạt động trên zkSync Layer 2, đã trở thành nạn nhân của một vụ khai thác dẫn đến khoản lỗ 3,4 triệu đô la. Cuộc tấn công làđã xác nhận bởi các nhà phân tích bảo mật tại BlockSec, những người đã hỗ trợ giao thức giải quyết vấn đề.

Sau vụ tấn công, EraLend đã đưa ra mộttuyên bố thừa nhận sự cố bảo mật và đảm bảo với người dùng rằng mối đe dọa đã được ngăn chặn. Giao thức đã đình chỉ tất cả các hoạt động vay và khuyên người dùng không nên gửi USDC cho đến khi có thông báo mới.

Cuộc tấn công tái nhập cảnh tấn công EraLend

Theo BlockSec, cuộc tấn công là một cuộc tấn công vào lại chỉ đọc. Cuộc tấn công này liên quan đến một tác nhân độc hại liên tục vào và thoát khỏi chức năng hợp đồng để thao túng trạng thái của hợp đồng và rút tiền.

Một cuộc tấn công vào lại là một khai thác có thể xảy ra trong các hợp đồng thông minh, là các chương trình máy tính tự thực thi chạy trên các mạng chuỗi khối phi tập trung như Ethereum.

Trong một cuộc tấn công vào lại, người dùng độc hại khai thác lỗ hổng trong hợp đồng thông minh bằng cách liên tục gọi một chức năng trong hợp đồng trước khi lệnh gọi chức năng trước đó hoàn thành, cho phép họ thao túng trạng thái của hợp đồng và có khả năng đánh cắp tiền.

Khi chức năng hợp đồng thông minh được gọi, trạng thái của hợp đồng được cập nhật trước khi lệnh gọi chức năng hoàn tất. Giả sử hàm được gọi tương tác với hợp đồng thứ hai trước khi hoàn thành lệnh gọi hàm đầu tiên. Trong trường hợp đó, hợp đồng thứ hai có thể gọi lại chức năng của hợp đồng đầu tiên, có khả năng thay đổi trạng thái của hợp đồng nhiều lần trước khi lệnh gọi chức năng ban đầu hoàn tất.

Điều này có thể cho phép kẻ tấn công thao túng trạng thái của hợp đồng và đánh cắp tiền.

Để ngăn chặn các cuộc tấn công vào lại, các nhà phát triển có thể sử dụng một kỹ thuật gọi là “kiểm tra-hiệu ứng-tương tác”. Điều này có nghĩa là một hợp đồng thông minh phải luôn kiểm tra tất cả các yếu tố đầu vào và điều kiện trước khi thực hiện bất kỳ thay đổi trạng thái nào, sau đó thực hiện tất cả các thay đổi trạng thái trước khi tương tác với bất kỳ hợp đồng nào khác.

Điều này đảm bảo trạng thái của hợp đồng được cập nhật trước khi các tương tác bên ngoài xảy ra, ngăn chặn các cuộc tấn công vào lại. Trong trường hợp này, kẻ tấn công đã khai thác một lỗ hổng trong mã hợp đồng của EraLend, lỗ hổng này liên tục cho phép chúng rút tiền mà giao thức không hề hay biết.

EraLend đã xác định được nguyên nhân gốc rễ của cuộc tấn công và đang hợp tác với các đối tác cũng như công ty an ninh mạng để giải quyết vấn đề. Giao thức đã đảm bảo với người dùng rằng nó sẽ thực hiện tất cả các bước cần thiết để giảm thiểu tác động của cuộc tấn công và ngăn chặn các sự cố tương tự xảy ra trong tương lai.

Mặc dù không có thêm thông tin cập nhật nào, nhưng rõ ràng là EraLend cam kết duy trì các tiêu chuẩn bảo mật cao nhất và thực hiện các biện pháp chủ động để bảo vệ tiền và dữ liệu của người dùng.

Tổng vốn hóa thị trường tiền điện tử có xu hướng giảm trên biểu đồ 1 ngày, mất 300 triệu đô la trong 2 ngày qua. Nguồn:TỔNG trên TradingView.com