Злоумышленник атаковал лендинговый протокол EraLend в сети zkSync Era, украв цифровые активы на сумму $3,4 млн.

Представители проекта подтвердили взлом. Разработчики приостановили все кредитные операции и рекомендовали пользователям не вносить новые депозиты. 

Сейчас команда EraLend взаимодействует с компанией по безопасности BlockSec для расследования инцидента. 

Вероятно, хакер использовал эксплойт «повторного входа только для чтения» на DEX SynсSwap. Это позволило взломщику манипулировать ценовым оракулом для вывода «обернутых» ETH и USDC. 

«Злоумышленник изменил цену токенов ликвидности во время действий SyncSwap по сжиганию или выпуску [монет], используя свои резервы для назначения собственного курса. Все проекты, использующие код затронутой биржи, должны оставаться начеку», — подчеркнули в BlockSec.

Согласно данным L2BEAT, с 5 июля общая заблокированная стоимость в L2-сети zkSync Era за последние 20 дней упала с $735 млн до $437 млн — на 40%. За тот же период показатель конкурента Starknet увеличился на 80%, с $71 млн до $128 млн.

Напомним, в июле хакер вывел из DeFi-протокола Rodeo Finance $1,5 млн посредством манипуляций с оракулом. 

Позднее злоумышленник атаковал проект Alphapo. Убытки от взлома составили около $60 млн.

За первое полугодие 2023 года криптоиндустрия столкнулась с 395 взломами, потеряв в результате около $479,4 млн.