DeFi borç verme protokolü Era Lend, yeniden giriş saldırısına uğrayarak 3,4 milyon dolarlık bir kayıp yaşadı. Bu olay, zkSync Layer 2 teknolojisi üzerinde işleyen ve genellikle güvenli kabul edilen “salt okunur” işlevlerin ne kadar hassas olduğunu gösteriyor.
DeFi Saldırılarının Son Kurbanı Era Lend Oldu
Era Lend, zkSync Layer 2 çözümü üzerinde işleyen bir DeFi borç verme protokolü olarak faaliyet gösteriyor. Ancak, kısa bir süre önce, güvenlik uzmanları tarafından teyit edilen bir yeniden giriş saldırısı sonucunda yaklaşık 3,4 milyon dolarlık bir kayıp yaşadı.
Bu durum, bir siber saldırganın tek bir işlemden birden fazla kez yararlanabildiği bir okuma hatası sebebiyle gerçekleşti. Saldırgan, bu açığı ve Era Lend’in üzerine kurulu olduğu kusurlu fiyat oracle’ını kullanarak protokoldeki varlıkları drenaj etti.
Genelde, “salt okunur” olarak tanımlanan görünüm işlevleri, genellikle sözleşmenin durumunu değiştiremedikleri için güvenli sayılır ve yeniden giriş korumasına sahip olmazlar. “Salt okunur” terim, bir işlevin yalnızca belirli bir görünüm eylemi yaptığını ifade eder ki bu durumda, bir üçüncü taraf havuzunun arzına dayalı bir token dengesi hesaplanmaktadır. Bu hadisede, bu üçüncü taraf, SyncSwap adında başka bir DeFi borsasıydı. Ancak bu olay, bu tür işlevlerin ciddi miktarda fon çalınmasına yol açabilecek şekilde manipüle edilebileceğini açığa çıkardı.
