Basado en el informe de CertiK, la app de préstamos, Era Lend, ha sido víctima de un exploit de $3,4 millones. Más tarde, la cantidad de criptomonedas robadas fue de aproximadamente $2,76 millones. Se especula que el atacante recurrió al uso de un ataque de reentrada de solo lectura para drenar estos fondos. Este tipo de ataque interrumpe el proceso de varios pasos y, a continuación, permite que continúe en cuanto se haya realizado alguna acción maliciosa. Además, una reentrada de sólo lectura no actualiza el estado de un determinado contrato.
El informe compartido por la firma de seguridad blockchain destaca que el atacante drenó estos fondos en dos ataques separados mediante el uso de una cuenta de propiedad externa. Al mismo tiempo, el explotador se aprovechó de la vulnerabilidad en «‘las funciones de callback y _updateReserves'» logrando así el manipular un contrato para que informe de valores antiguos.
Ya se informó de que el código Syncswap permite a un usuario quemar y luego hacer un callback antes de que se ejecute el update_reserves. Esto eventualmente causa que el oráculo reporte valores incorrectos. Era Lend, por lo tanto, reconoció el ataque y suspendió inmediatamente su contrato zkSync para evitar nuevos exploits.
Un miembro del equipo de Era Lend publicó un comunicado en Twitter,
«Queremos asegurarles que el ataque ha sido contenido, y el actor de la amenaza ya no puede continuar con sus acciones. El alcance del impacto se está evaluando actualmente y se anunciará más adelante.»
ERA LEND RESPONDE AL ATAQUE
Un investigador de blockchain y usuario de Twitter, bajo el alias de Saul, informó de que el ataque había afectado en gran medida a la stablecoin USDC+, emitida por el protocolo Overnight Finance. Saul también ha destacado que el protocolo también ha reconocido la exposición maliciosa y ha detenido también sus propios contratos. Se especula que aproximadamente 7,86%, o $261.000, del valor total de la garantía que respalda la stablecoin, podría haberse perdido en el reciente exploit.
Tras el ataque, el equipo de Era Lend tranquilizó a sus usuarios asegurando que fue rápido en identificar el ataque y tomar las medidas necesarias. Teniendo eso en cuenta, la plataforma logró contener completamente el ataque, impidiendo que el explotador continuara con las acciones ilegales. Se aclaró que sólo el fondo USDC+ se vio comprometido en el ataque, mientras que la seguridad de los activos distintos de ese fondo permanece intacta.
Además, Era Lend aconsejó a sus usuarios que no depositaran tokens USDC por el momento como medida de precaución. También se han suspendido temporalmente todas las operaciones de préstamo. Por el momento no se ha facilitado ninguna actualización adicional, pero se espera que Era Lend siga informando a sus usuarios a medida que la historia continúe en desarrollo.
