Hack, Fraude et ScamNews

Le protocole de lending zkSync EraLend victime d’une attaque

Crédit : Shutterstock

Protocole de lending crypto du L2 zkSync, EraLend a été la cible d’une attaque de type read-only reentrancy. Résultat : un vol d’actifs estimé à 2,76 millions de dollars. Les utilisateurs se retirent en réaction.

 

Les conséquences d’un piratage ne se résument pas au préjudice direct infligé par les hackers. Les effets sur la TVL sont aussi significatifs. EraLend en est une illustration. Avant l’attaque, le protocole de lending affichait une Total Value Locked de plus de 18 millions de dollars.

DefiLlama l’évalue à présent à 4,6 millions de dollars. Principal service de lending sur zkSync, EraLend a été victime d’une attaque dite de « réentrance en lecture seule », une technique fréquemment employée contre des protocoles DeFi.

Total Value Locked Eraland – Defillama

Prix de l’oracle manipulé par l’attaquant

L’entreprise de sécurité blockchain CertiK estime le préjudice à 3,4 millions de dollars. Sur Twitter, EraLend procède à une autre évaluation, de l’ordre de 2,76 millions de dollars. Un montant qui reste considérable pour un protocole dont la TVL plafonnait sous les 20 millions.

Après une première enquête, nous avons identifié l’attaque illégale comme étant un exploit de réentrée en lecture seule. L’attaquant a manipulé le prix de l’oracle, ce qui a conduit à un exploit d’environ 2,76 millions de dollars dans le pool USDC. Tous les autres pools restent sécurisés et ne sont pas affectés », précise EraLend.

D’après les éléments recueillis, l’attaquant a depuis réparti les fonds dérobés entre plusieurs portefeuilles sur différentes chaînes par le biais de plusieurs ponts.

Actuellement, les fonds sont répartis sur 3 blockchains et 8 adresses, que nous surveillons de près », indique l’équipe du protocole.

Interruptions de service et taux d’intérêt en recul

« Nous collaborons activement avec les ponts, les équipes de sécurité, les bourses et les forces de l’ordre pour enquêter et retracer les flux de fonds. Notre objectif principal est de récupérer les fonds pour nos 500 000 utilisateurs du protocole », ajoute-t-elle.

Suite à l’attaque, EraLend a pris la décision d’interrompre « temporairement » les emprunts, l’approvisionnement en USDC et l’approvisionnement en SyncSwap LP.

En outre, nous avons considérablement réduit le taux d’intérêt du pool USDC afin de protéger les positions d’emprunt affectées d’une liquidation potentielle pendant cette période », précisent encore les développeurs.

Une semaine auparavant, c’est Conic Finance, un protocole sur Ethereum, qui subissait une attaque de même nature, enregistrant une perte estimée à 3,2 millions de dollars. Même cause, même conséquence : la TVL de Conic Finance chutait aussitôt drastiquement.

Pour suivre l’actu Crypto et Web3, retrouvez Coins.fr sur Twitter, Linkedin, Facebook ou Telegram

Christophe Auffray
Cofondateur et rédacteur en chef adjoint - Journaliste spécialiste de la transformation numérique depuis 2005, Christophe a notamment été rédacteur en chef adjoint chez ZDNet. Il suit de près l’actualité autour des actifs numériques et la décrypte au quotidien. Contact : christophe@coins.fr