🚨Security Update: We've experienced a security incident on our platform today. The threat has been contained. We've suspended all borrowing operations for now and advise against depositing USDC. We're working with partners and cybersecurity firms to address this.
— EraLend | The #1 Money Market on zkSync🥇 (@Era_Lend) July 25, 2023
More updates…
A
A
EraLend hacké : Des millions envolés après une attaque de réentrée
mer 26 Juil 2023 ▪
5
min de lecture ▪ par
S'informer
▪
Les cryptos et leurs histoires de hack, ça ne s’arrêtera plus on dirait. Il ne se passe plus une semaine sans aucune nouvelle d’exploitation de protocole. Ce jour, le prêteur décentralisé EraLend a fait l’objet d’une exploitation. Plus de 3 millions de dollars ont été siphonnés à l’occasion.
EraLend, hacké à 3,4 millions de dollars
Le dernier hack en date a causé de lourdes pertes à Multichain : environ 230 millions de dollars dérobés. Certains observateurs n’écartent pas la théorie d’un rug pull perpétré par ses administrateurs.
Dans un article paru sur CoinDesk, un autre cas de piratage a été signalé. Il concerne EraLend, le plus grand protocole de prêt sur zkSync, un layer 2 d’Ethereum, qui a fait l’objet d’un vol de cryptomonnaies à hauteur de 3,4 millions de dollars.
« Mise à jour de la sécurité : Nous avons connu un incident de sécurité sur notre plateforme aujourd’hui. La menace a été contenue. Nous avons suspendu toutes les opérations d’emprunt pour le moment et déconseillons de déposer de l’USDC. Nous travaillons avec des partenaires et des sociétés de cybersécurité pour résoudre ce problème. D’autres mises à jour suivront. »
Dans un communiqué sur Discord, l’équipe d’Era Land a précisé que seul le pool USDC a été hacké. Toutefois, les autres actifs n’ont pas été compromis.
The Block a précisé qu’e c’était’il s’agissait d’une « Reentrancy attack », traduit en français « attaque de réentrée ».
Reentrancy attack, quèsaco ?
Plusieurs hackers recourent à cette méthode autorisant l’exécution de certaines fonctions de contrats intelligents à plusieurs reprises. Il leur suffit d’exploiter cette faille en faisant des demandes répétitives de retrait de fonds.
Ainsi, le protocole (ici EraLend) lui-même est trompé et n’arrivera pas à contenir une hémorragie dont l’ampleur ne peut pas être constatée.
Celui qui a hacké EraLend a donc transféré des fonds, plus que sa mérite, par une seule transaction. L’existence d’un oracle de prix défectueux ayant servi de base à EraLend lui a également facilité les choses. En effet, les fonctions de visualisation étiquetées en lecture seule restent vulnérables à ce genre d’attaque. Celles-ci ne font qu’une simple action de visualisation : par exemple, le calcul d’un solde de tokens basés sur l’approvisionnement d’un pool de tiers.
Bilan : 3,4 millions de dollars volés, et chute du TVL d’EraLend à 10,75 millions de dollars, si auparavant dépassait les 18 millions.
Le hack d’EraLend a également touché SyncSwap, un exchange crypto décentralisé.
Lei Wu, cofondateur et directeur technique de BlockSec, a précisé que :
« L’attaquant a modifié le prix du LP pendant les actions de burn/mint de SyncSwap, en utilisant ses réserves pour déterminer le prix du LP [sur Era Lend]. Tous les projets qui utilisent le code SyncSwap doivent rester vigilants. »
EraLend appelle au bon sens du hacker
Cette publication de PeckShield révise à la baisse le montant des sommes volées sur EraLend. A priori, il y a une différence de 700 000 dollars par rapport aux chiffres relayés par les médias ayant couvert le hack.
Sauf que les 1 438 ETH volés n’affecteront pas seulement les utilisateurs d’EraLend, mais aussi « toute la communauté DeFi dans son ensemble ».
Ainsi, la team EraLend a proposé de négocier avec le pirate.
« Nous sommes conscients que vous auriez pu épuiser toutes les liquidités disponibles lors de l’attaque d’hier, mais que vous avez choisi de n’en prendre qu’une partie. Nous interprétons cela comme l’expression de votre ‘bonne volonté’ ou d’une préoccupation potentielle pour les victimes ou l’impact plus large d’une attaque aussi grave. »
Le deal se présente comme suit : soit le hacker retourne 90 % des fonds volés à l’adresse indiquée dans le tweet, et gagnera une prime de bonne volonté de 10 %. Soit il garde la totalité et devra s’attendre à une sévère punition de la part d’EraLend.
Une date limite a été mentionnée à l’occasion : le 27 juillet à 14 :00 UTC.
La prochaine fois, l’équipe d’EraLend pourra apprendre de Sui Network qui a mis en place un programme « Bug Bounty ». Certik fut le premier à recevoir une récompense de 500 000 dollars pour avoir dévoilé une vulnérabilité à Mysten Labs.
Maximisez votre expérience Cointribune avec notre programme 'Read to Earn' ! Pour chaque article que vous lisez, gagnez des points et accédez à des récompenses exclusives. Inscrivez-vous dès maintenant et commencez à cumuler des avantages.
A
A
La révolution blockchain et crypto est en marche ! Et le jour où les impacts se feront ressentir sur l’économie la plus vulnérable de ce Monde, contre toute espérance, je dirai que j’y étais pour quelque chose
DISCLAIMER
Les propos et opinions exprimés dans cet article n'engagent que leur auteur, et ne doivent pas être considérés comme des conseils en investissement. Effectuez vos propres recherches avant toute décision d'investissement.