Era Lend บน zkSync ถูกโจมตี สูญเงินไปกว่า 3.4 ล้านดอลลาร์(117 ล้านบาท) ตามรายงานเมื่อวันที่ 25 กรกฎาคมจากบริษัทรักษาความปลอดภัยบล็อกเชน CertiK โดยผู้โจมตีใช้ “read-only reentrancy attack” เพื่อขโมยเงินทุน โดยเป็นประเภทของการโจมตีเพื่อขัดจังหวะกระบวนการในหลายกระบวนการ และกลับมาดำเนินการต่อไปหลังจากมีการดำเนินการที่เป็นอันตราย โดยเฉพาะอย่างยิ่ง การกลับมาแบบ “read-only” ทำให้ไม่มีการอัปเดตสถานะของสัญญา
ตามรายงาน ผู้โจมตีขโมยเงินในการทำธุรกรรมสองรายการแยกกัน โดยใช้บัญชีภายนอก 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a โดยผู้โจมตีอาศัยช่องโหว่ใน “the callback และ _updateReserves” เพื่อควบคุมสัญญาให้รายงานค่าเก่าที่ยังไม่ได้อัปเดต
Era Lend เป็นโครงการที่ fork มาจาก Syncswap ซึ่ง CertiK เตือนว่าโครงการอื่น ๆ ที่ใช้ Syncswap ก็อาจเสี่ยงต่อการถูกโจมตีเช่นกัน
ผู้ใช้ Twitter ชื่อ “Spreek” ก็รายงานว่า ทีม Era Lend ได้รับทราบการโจมตีแล้ว และได้หยุดสัญญา zkSync ของโปรโตคอลชั่วคราวเพื่อป้องกันการโจมตีเพิ่มเติม
อ้างอิง : cointelegraph
ภาพ theblock
