ブロックチェーンセキュリティ企業セルティックによると、zkSync上のレンディングアプリのエラ・レンド(Era Lend)が「リードオンリー・リエントランシー攻撃」を受け、340万ドル相当の仮想通貨の不正流出が発生したという。これは、複数のステップからなるプロセスを中断し、悪意のあるアクションが実行された後にそれを続行させるタイプの攻撃だ。具体的には、「リードオンリー」のリエントランシーは、契約の状態を更新しないものであるとされている。
セルティックの報告によれば、攻撃者は外部所有のアカウントを使用して、2回の取引で資金を引き出した。攻撃者は、「コールバックおよび_updateReserves関数」の脆弱性を利用して、まだ更新されていない古い値を報告するようにコントラクトを操作した。エラ・レンドはSyncswapプロジェクトのフォークであり、セルティックはSyncswapに基づく他のプロジェクトも同様の脆弱性を持つ可能性があると主張している。
オンチェーン分析を手掛けるツイッターユーザーのSpreekは、Syncswapのコードの問題によりオラクルが誤った値を報告していると指摘した。また、Spreekはエラ・レンドのチームが攻撃を認め、プロトコルのzkSyncコントラクトを一時停止して、さらなる攻撃を防ぐとも報告している。
別のブロックチェーン調査者でツイッターユーザーのSaulは、攻撃がオーバーナイト・ファイナンス・プロトコルによって発行されたステーブルコインUSDC+に影響を及ぼしたと報告した。Saulによれば、オーバーナイトチームはこの問題を認め、自身のコントラクトを一時停止したという。ステーブルコインを裏付ける資産の7.86%にあたる26万1000ドルが失われた可能性がある。
エラ・レンドはzkSyncネットワーク上で動作している。これはゼロ知識証明のイーサリアムレイヤー2ロールアップである。4月には、ネットワークの総ロック価値が1億1000万ドルを超えた。ネットワークの開発者たちは、今年末までに「ハイパーチェーン」と呼ばれる相互運用可能なチェーンのエコシステムを作ることを目指している。
翻訳・編集 コインテレグラフジャパン