EraLend, một giao thức cho vay phi tập trung hoạt động trên zkSync Layer 2, đã trở thành nạn nhân của một vụ tấn công dẫn đến khoản thiệt hại 3,4 triệu USD. Cuộc tấn công đã được xác nhận bởi các nhà phân tích bảo mật tại BlockSec, người đã hỗ trợ giao thức giải quyết vấn đề.
Sau vụ tấn công, EraLend đã đưa ra một tuyên bố thừa nhận sự cố bảo mật và đảm bảo với người dùng rằng mối đe dọa đã được ngăn chặn. Giao thức đã đình chỉ tất cả các hoạt động vay và khuyên người dùng không nên gửi USDC cho đến khi có thông báo mới.
Cuộc tấn công Re-Entrancy vào EraLend
Theo BlockSec, cuộc tấn công là một read-only re-entrancy. Cuộc tấn công này liên quan đến một tác nhân độc hại liên tục vào và thoát khỏi chức năng hợp đồng để thao túng trạng thái của hợp đồng và rút tiền.
Một cuộc tấn công re-entrancy là một khai thác có thể xảy ra trong các hợp đồng thông minh, là các chương trình máy tính tự thực thi chạy trên các mạng blockchain phi tập trung như Ethereum.
Trong một cuộc tấn công re-entrancy, người dùng độc hại khai thác lỗ hổng trong hợp đồng thông minh bằng cách liên tục gọi một chức năng trong hợp đồng trước khi lệnh gọi chức năng trước đó hoàn thành, cho phép họ thao túng trạng thái của hợp đồng và có khả năng đánh cắp tiền.
Khi chức năng hợp đồng thông minh được gọi, trạng thái của hợp đồng được cập nhật trước khi lệnh gọi chức năng hoàn tất. Giả sử hàm được gọi tương tác với hợp đồng thứ hai trước khi hoàn thành lệnh gọi hàm đầu tiên.
Trong trường hợp đó, hợp đồng thứ hai có thể gọi lại chức năng của hợp đồng đầu tiên, có khả năng thay đổi trạng thái của hợp đồng nhiều lần trước khi lệnh gọi chức năng ban đầu hoàn tất.
Điều này có thể cho phép kẻ tấn công thao túng trạng thái của hợp đồng và đánh cắp tiền.
Để ngăn chặn các cuộc tấn công re-entrancy, các nhà phát triển có thể sử dụng một kỹ thuật gọi là “kiểm tra-hiệu ứng-tương tác”.
Điều này có nghĩa là một hợp đồng thông minh phải luôn kiểm tra tất cả các yếu tố đầu vào và điều kiện trước khi thực hiện bất kỳ thay đổi trạng thái nào, sau đó thực hiện tất cả các thay đổi trạng thái trước khi tương tác với bất kỳ hợp đồng nào khác.
Điều này đảm bảo trạng thái của hợp đồng được cập nhật trước khi các tương tác bên ngoài xảy ra, ngăn chặn các cuộc tấn công re-entrancy.
Trong trường hợp này, kẻ tấn công đã khai thác một lỗ hổng trong mã hợp đồng của EraLend, lỗ hổng này liên tục cho phép chúng rút tiền mà giao thức không hề hay biết.
EraLend đã xác định được nguyên nhân gốc rễ của cuộc tấn công và đang hợp tác với các đối tác cũng như công ty an ninh mạng để giải quyết vấn đề. Giao thức đã đảm bảo với người dùng rằng nó sẽ thực hiện tất cả các bước cần thiết để giảm thiểu tác động của cuộc tấn công và ngăn chặn các sự cố tương tự xảy ra trong tương lai.
Mặc dù không có thêm thông tin cập nhật nào, nhưng rõ ràng là EraLend cam kết duy trì các tiêu chuẩn bảo mật cao nhất và thực hiện các biện pháp chủ động để bảo vệ tiền và dữ liệu của người dùng.
Tin Tức Bitcoin tổng hợp
