سرقت ۳.۴ میلیون دلار از پروتکل وام‌دهی EraLend

EraLend یک پروتکل وام‌دهی غیرمتمرکز که بر روی راهکار لایه دو zkSync کار می‌کند، قربانی یک سوءاستفاده شده است که منجر به سرقت ۳.۴ میلیون دلاری شد. این حمله توسط تحلیلگران امنیتی پلتفرم BlockSec تایید شد که به EraLend در رسیدگی به این مشکل کمک می‌کنند.

به گزارش والکس و به نقل از Bitcoinist، پس از این حمله، EraLend بیانیه‌ای صادر کرد و ضمن تایید این حادثه امنیتی، به کاربران خود اطمینان داد که تهدید مهار شده است. این پروتکل تمامی عملیات استقراض را به حالت تعلیق درآورده و به کاربران توصیه کرده است تا اطلاع ثانوی نسبت به واریز USDC اقدام نکنند.

به گفته BlockSec، هکرها از روش ورود مجدد برای این حمله استفاده کرده‌اند. این حمله شامل یک عامل مخرب است که با وارد و خارج کردن چندباره یک تابع در قرارداد هوشمند، برای دستکاری وضعیت قرارداد و برداشت وجوه استفاده می‌شود. حمله ورود مجدد روشی است که هکرها در قراردادهای هوشمند بر مبنای سولیدیتی انجام می‌دهند.

در یک حمله ورود مجدد، یک کاربر مخرب با فراخوانی مکرر یک تابع در قرارداد هوشمند قبل از تکمیل فراخوان قبلی، از یک آسیب‌پذیری در قرارداد هوشمند سوءاستفاده می‌کند. این شیوه به هکرها اجازه می‌دهد وضعیت قرارداد را دستکاری کرده و به طور بالقوه وجوه را سرقت کنند.

هنگامی که یک تابع قرارداد هوشمند فراخوانی می‌شود، وضعیت قرارداد قبل از تکمیل فراخوانی تابع به‌روز می‌شود. فرض کنید تابع فراخوانی شده با قرارداد دوم قبل از تکمیل اولین فراخوانی تابع تعامل داشته باشد. در آن صورت، قرارداد دوم می‌تواند عملکرد قرارداد اول را دوباره فراخوانی کند و به طور بالقوه وضعیت قرارداد را چندین بار قبل از تکمیل فراخوانی تابع اصلی تغییر دهد. این عامل می‌تواند به مهاجم اجازه دهد تا وضعیت قرارداد را دستکاری کرده و وجوه را سرقت کند.

برای جلوگیری از حملات ورود مجدد، توسعه‌دهندگان می‌توانند از تکنیکی به نام بررسی اثر تعامل استفاده کنند. این بدان معناست که یک قرارداد هوشمند باید همیشه قبل از اجرای هر تغییر حالت، تمام ورودی‌ها و شرایط را بررسی کند و سپس قبل از تعامل با سایر قراردادها، تمام تغییرات ایجاد شده در تابع را اجرا کند.

بررسی اثر تعامل تضمین می‌کند که وضعیت قرارداد قبل از وقوع تعاملات خارجی به‌روز می‌شود و از حملات ورود مجدد جلوگیری می‌کند. در این مورد، مهاجم از یک آسیب‌پذیری در کد قرارداد هوشمند EraLend سوءاستفاده کرد که به طور مکرر به آنها اجازه برداشت بدون اطلاع پروتکل را می‌داد.

EraLend علت اصلی حمله را شناسایی کرده و با شرکای خود و شرکت‌های امنیت سایبری برای رسیدگی به این مشکل همکاری می‌کند. این پروتکل به کاربران اطمینان داده است که تمام اقدامات لازم را برای کاهش تأثیر حمله و جلوگیری از وقوع حوادث مشابه در آینده انجام خواهد داد.