Overview

EraLend, un importante protocollo di lending decentralizzato che opera sulla rete zkSync Layer 2, è stato bersaglio di un "read only reentrancy exploit", che ha comportato una perdita significativa di circa 3,4 milioni di dollari.

Informazioni su EraLend

EraLend è un protocollo innovativo nel panorama DeFi, offrendo un protocollo all'avanguardia che privilegia l'efficienza del capitale e la riduzione del rischio. Basato su zkSync, EraLend supporta praticamente tutti i token più importanti, facilitando il prestito peer-to-peer con eccezionale velocità e costi minimi.

EraLend fa da apripista con la prima suite nativa di prodotti di lending su zkSync, con l'obiettivo di favorire l'adozione di massa del DeFi.

Sull'attacco

L'attaccante ha sfruttato una vulnerabilità nel codice dello smart contract che gli ha permesso di eseguire chiamate reiterate a una funzione all'interno di una singola transazione. Questo gli ha consentito di prelevare più fondi di quelli a cui avrebbe avuto diritto, esaurendo le risorse in due transazioni distinte utilizzando un wallet di tipo EOA (External Owned Account)"

In particolare, l'exploit ha comportato la manipolazione di un contratto per segnalare valori obsoleti che non erano ancora stati aggiornati. Di conseguenza, ciò ha avuto ripercussioni sulla stablecoin USDC+, emessa dal protocollo Overnight Finance, determinando una perdita potenziale di oltre $261.000, che rappresenta circa il 7,86% del valore totale del collateral a supporto della stablecoin. EraLend ha twittato sull'exploit per informare gli utenti:

🚨Security Update: We've experienced a security incident on our platform today. The threat has been contained. We've suspended all borrowing operations for now and advise against depositing USDC. We're working with partners and cybersecurity firms to address this.
More updates…

— EraLend | The #1 Money Market on zkSync🥇 (@Era_Lend) July 25, 2023

In risposta all'attacco, EraLend ha agito immediatamente sospendendo i contratti zkSync del protocollo per limitare o impedire ulteriori exploit. E’ stato anche consigliato agli utenti di non depositare USDC fino a quando il problema non fosse stato risolto. Anche le operazioni di prestito sulla piattaforma sono state temporaneamente interrotte poiché il team collabora con alcune società di sicurezza informatica per affrontare l’incidente.

La strategia di attacco sfruttata è un “read-only reentrancy exploit”, un metodo che non altera lo stato di un contratto ma è riuscito a drenare una notevole quantità di denaro dalla piattaforma. valori di data utilizzando un difetto nella "funzione callback e _updateReserves".

We are assisting @Era_Lend to this issue, and the root cause has been identified. The total loss is ~$3.4M.
Specifically, this is a read-only re-entrancy attack.
Another attack tx is:https://t.co/H4A2suVLai
Attacker address:
0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a https://t.co/InhCCW7QAy

— BlockSec (@BlockSecTeam) July 25, 2023

Ancora sull'attacco

L'attacco a EraLend ha sfruttato principalmente i token LP (Liquidity Pool) come collaterale. L'attaccante è stato in grado di manipolare il prezzo dei token LP, causando perdite significative. L'exploit potrebbe essere avvenuto perché EraLend consentiva l'utilizzo di questi token LP come collaterale.

Inoltre, l'attacco a EraLend ha avuto un effetto a catena su altre piattaforme all'interno dell'ecosistema, in particolare Overnight.fi. Quest'ultima utilizzava EraLend in modo simile ad Aave, dove prendevano in prestito ETH contro USDC e fornivano posizioni LP delta-neutral su Mute.io. A seguito dell'attacco, la posizione USDC/ETH LP di Overnight.fi su Mute.io, legata a EraLend, ha subito una diminuzione del valore, spingendo gli utenti a vendere le loro partecipazioni sulla piattaforma. Overnight.fi ha successivamente interrotto temporaneamente l'uso di USD+ su zkSync e sta collaborando con EraLend per massimizzare gli sforzi di recupero.

Inoltre, Peckshield, la nota società di auditing, ha confermato un problema di price oracle legato all'exploit. Questo strumento, critico per determinare i prezzi di mercato attuali, ha subito interruzioni a causa dell'attacco, portando a incongruenze nei calcoli.

Conseguenze dell'attacco

Sebbene la perdita totale subita da EraLend ammonti a circa $3,4 milioni, è stata segnalata una seconda transazione di attacco che coinvolge $1 milione di USDC. Questo solleva preoccupazioni riguardo a potenziali ulteriori perdite, evidenziando la gravità della situazione.

Dopo aver identificato l'exploit, EraLend ha prontamente rilasciato una dichiarazione riconoscendo l'incidente di sicurezza e assicurando ai propri utenti che la minaccia era stata contenuta. Il protocollo ha sospeso tutte le operazioni di prestito e ha consigliato agli utenti di non depositare USDC fino a quando la situazione non fosse stata risolta. EraLend ha inoltre assicurato ai propri utenti che tutti gli asset diversi da USDC sono rimasti sicuri.

Tuttavia, questo incidente ha suscitato preoccupazioni riguardo alle vulnerabilità potenziali che possono esistere nell'ampio ecosistema DeFi. Rappresenta un potente monito sull'importanza di robuste misure di sicurezza e vigilanza costante nel mondo delle finanze decentralizzate.

Prevenzione di futuri attacchi

A seguito dell'attacco, sviluppatori ed esperti del settore hanno sottolineato l'importanza di implementare corrette tecniche di codifica per prevenire tali violazioni di sicurezza. Una misura preventiva di questo tipo è una tecnica chiamata "checks-effects-interactions," che garantisce che uno smart contract verifichi sempre tutte i valori attesi e le condizioni prima di eseguire eventuali modifiche dello stato, quindi esegue tutte le modifiche dello stato prima di interagire con altri contratti.

Attraverso questo incidente, EraLend ha dimostrato impegno nel mantenere gli standard di sicurezza più elevati e nel prendere misure pro-attive per proteggere i fondi dei propri utenti. Il team sta collaborando con partner e aziende di sicurezza informatica per affrontare le problematiche e mitigare l'impatto dell'attacco.

L'impegno di EraLend nel rafforzare la propria infrastruttura di sicurezza, nonostante il contraccolpo, rafforza la dedizione del protocollo alla propria comunità di utenti e all'ampio ecosistema DeFi.

Conclusione

In conclusione, l'exploit recente di EraLend sottolinea l'urgente necessità di maggiori misure di sicurezza nella DeFi. Nonostante il contraccolpo, EraLend rimane salda nel rafforzare i propri protocolli per proteggere gli utenti. L'incidente non mette alla prova solo EraLend, ma serve anche come vivo monito per l'ecosistema DeFi nel suo complesso riguardo all’attenzione sulle vulnerabilità e alle buone pratiche per scrivere codice sicuro.