Slow Fog Yu Xin: zkLend atacado devido a vulnerabilidade na biblioteca SafeMath no contrato, atacante possivelmente ligado ao incidente de hacking da EraLend

Um exploit de erro de arredondamento drenou $9,57 milhões dos vaults do @zkLend no @Starknet. Depois que o Railgun os mostrou a porta, o atacante ignorou o prazo do bounty de Dia dos Namorados, deixando os fundos roubados parados.Foi o mesmo hacker por trás do hack do EraLend em 2023?https://t.co/NyvtG9zyHE https://t.co/EQz3VEoXRE

Em 12 de fevereiro de 2025, o principal projeto de empréstimos na Starknet, zkLend, sofreu um ataque que resultou em quase 10 milhões de dólares em perdas de ativos. 🧐De acordo com informações do SlowMist InMist Lab, 0x93920786e0fda8496248c4447e2e082da69b6c40 foi usado pelo atacante para receber fundos roubados do hack da EraLend. Isso sugere que os ataques ao zkLend e à EraLend foram realizados pelo mesmo atacante.⚠️Leia nosso último artigo para uma análise detalhada do hack do zkLend, incluindo a causa raiz do ataque e os endereços vinculados ao atacante.⬇️https://t.co/olJHX7TNGv

Notícias da Noite do Star Planet

🚨 Outro dia, outro hack! #zkLend se junta ao EraLend no clube dos 'rekt'. Quer saber quem está despejando suas moedas desta vez? 🕵️‍♂️💸

🕵️‍♂️ Entendendo Ataques de Reentrância Somente para Leitura Você acha que os ataques de reentrância são ruins? Conheça seu irmão sorrateiro: ataques de reentrância somente para leitura.🔹 O que é um Ataque de Reentrância?- Um ataque de reentrância ocorre quando uma função chama um contrato externo não confiável, e esse contrato chama recursivamente de volta a função original antes que a primeira execução esteja completa. - Enquanto os ataques de reentrância tradicionais se concentram em funções que modificam o estado, a reentrância somente para leitura visa funções de visualização que normalmente não são protegidas, explorando-as para retornar dados incorretos ou manipulados.🔹 Como Funciona a Reentrância Somente para Leitura- Manipulação: Um atacante usa lógica de fallback para manipular o estado do contrato de um protocolo.- Exploração: Isso engana outro protocolo a ler dados manipulados, como preços de tokens, levando a explorações como manipulação de preços.🔹 Condições para Vulnerabilidade- Um estado existe que pode ser acessado externamente.- Esse estado é modificado após uma chamada externa.- Outro contrato depende do estado não modificado através de uma função getter.🔹 Exemplo do Mundo Real: Sentiment Protocol1️⃣ O atacante usou empréstimos relâmpago para inflacionar os preços dos tokens.2️⃣ Manipulou tokens da pool do Balancer para enganar o oráculo de preços da Sentiment.3️⃣ Tomou emprestado repetidamente usando a garantia inflacionada, roubando $1M.Nota: A equipe da Sentiment recuperou 90% dos fundos roubados.🔹 Outros Ataques- dForce Network: Perdeu $3,6M em Arbitrum e Optimism devido à manipulação de preços.- Quickswap: Perdeu $200K, levando-os a desativar sua funcionalidade de empréstimos.- Conic Finance & EraLend: Dranaram $3,6M e $3,4M, respectivamente, através de explorações semelhantes.🔹 Por que é CríticoEsses tipos de ataques são mais difíceis de detectar e mitigar, pois exploram interações entre protocolos. Estima-se que mais de $100M permaneçam em risco.🔹 Dicas de Mitigação- Guardas de Reentrância: Adicione guardas para evitar reentrada em funções de visualização vulneráveis. Torne o guarda visível publicamente para integrações.- Mecanismos de Bloqueio: Use bloqueios para evitar inconsistências de estado durante chamadas externas.- Práticas de Codificação Segura: Siga o padrão Checks-Effects-Interactions (CEI) e colabore com auditores de segurança.- Ferramentas: Use ferramentas como Slither, SGUARD, Sereum e Mythril para detectar vulnerabilidades durante o desenvolvimento e auditorias.#SmartContracts #Web3Security #cybersecuritytips

🧑‍🚀Estamos emocionados em anunciar que o aguardado airdrop da @stratumexchange finalmente chegou! Onde Reivindicar: https://t.co/NFdjHi2Azy Rede: O airdrop está ativo na rede Mantle. Elegibilidade: Este airdrop é exclusivo para usuários que fizeram parte da plataforma Nexon (que era EraLend) durante o período de snapshot👇

#alertadehack @Era_Lend hackeado Perda total: aproximadamente $3,4 milhões vulnerabilidade: reentrância somente leitura

📚Um grande agradecimento ao @DocumentzkSync pelo guia abrangente sobre o uso de tokens LP da @syncswap como garantia na EraLend! Se você deseja se envolver com nossa plataforma, esta leitura é indispensável👇

🚀Ultrapassando 307 mil endereços únicos usando nosso protocolo, um crescimento de 50% nos últimos 20 dias! ↔️Um grande agradecimento ao ecossistema @zksync e à nossa vibrante comunidade por impulsionar essa jornada. 🙌 Avante e para cima!#DeFi #zkSync #EraLend https://t.co/Vn33lZ28Po