سرقت 3.4 میلیون دلار از پروتکل وام EraLend

EraLend، یک پروتکل وام دهی غیرمتمرکز که بر روی راه حل لایه دوم zkSync اجرا می شود، قربانی سوء استفاده ای شد که منجر به سرقت 3.4 میلیون دلار شد. این حمله توسط تحلیلگران امنیتی در پلتفرم BlockSec تایید شد که به EraLend برای مقابله با این مشکل کمک می کنند.

به گزارش کوین اکسو و به نقل از بیت کوینیست، پس از این حمله، EraLend بیانیه ای صادر کرد و ضمن تایید این اتفاق امنیتی، به کاربران خود اطمینان داد که این تهدید مهار شده است. این پروتکل تمامی عملیات استقراض را متوقف کرد و به کاربران توصیه کرد تا اطلاع ثانوی USDC را واریز نکنند.

به گفته BlockSec، هکرها از روش ورود مجدد برای این حمله استفاده کردند. این حمله شامل یک عامل مخرب است که برای دستکاری وضعیت قرارداد و برداشت وجه با درج و حذف مکرر یک تابع در قرارداد هوشمند استفاده می شود. حمله ورود مجدد روشی است که هکرها در قراردادهای هوشمند مبتنی بر جامد انجام می دهند.

در یک حمله ورود مجدد، یک کاربر مخرب با فراخوانی مکرر یک تابع در قرارداد هوشمند قبل از تکمیل تماس قبلی، از یک آسیب پذیری در قرارداد هوشمند سوء استفاده می کند. این عمل به هکرها اجازه می دهد تا وضعیت قرارداد را دستکاری کرده و به طور بالقوه وجوه را سرقت کنند.

هنگامی که یک تابع قرارداد هوشمند فراخوانی می شود، وضعیت قرارداد قبل از تکمیل فراخوانی تابع به روز می شود. فرض کنید تابع فراخوانی شده با قرارداد دوم قبل از اتمام اولین فراخوانی تابع تعامل داشته باشد. در این حالت، قرارداد دوم می‌تواند تابع قرارداد اول را دوباره فراخوانی کند و به طور بالقوه وضعیت قرارداد را چندین بار قبل از تکمیل فراخوانی تابع اصلی تغییر دهد. این عامل می تواند به مهاجم اجازه دهد تا وضعیت قرارداد را دستکاری کرده و وجوه را سرقت کند.

برای جلوگیری از حملات ورود مجدد، توسعه دهندگان می توانند از تکنیکی به نام استفاده کنند مطالعه اثر متقابل to use به این معنی است که یک قرارداد هوشمند باید همیشه قبل از اجرای هر تغییر حالت، همه ورودی ها و شرایط را بررسی کند و سپس قبل از تعامل با سایر قراردادها، هر تغییری را که در تابع ایجاد شده است، اجرا کند.

بررسی اثر تعامل تضمین می کند که وضعیت قرارداد قبل از وقوع تعاملات خارجی به روز می شود و از حملات ورود مجدد جلوگیری می کند. در این مورد، مهاجم از یک آسیب‌پذیری در کد قرارداد هوشمند EraLend سوء استفاده کرد که مکرراً به آن‌ها اجازه خروج بدون اطلاع پروتکل را می‌داد.

EraLend علت اصلی حمله را شناسایی کرده است و با شرکای خود و شرکت های امنیت سایبری برای رسیدگی به این مشکل همکاری می کند. این پروتکل به کاربران اطمینان داد که تمام اقدامات لازم را برای کاهش تأثیر حمله و جلوگیری از حوادث مشابه در آینده انجام خواهد داد.