EraLend bị hack và 5 lưu ý quan trọng để phòng ngừa rủi ro khi dùng zkSync

Tổng quan

Hôm qua là một ngày buồn với người dùng hệ zkSync, khi nhận được tin nền tảng lending EraLend đã bị hack tới 3,4 triệu USDC. EraLend là nền tảng lending lớn nhất trên zkSync Era và sở hữu hơn 500 nghìn người dùng, do đó đây là một vụ hack chấn động của hệ sinh thái Layer2 non trẻ này.

Vậy vụ hack đã xảy ra như thế nào và người dùng EraLend cần nhanh chóng làm gì để bảo vệ mình? Tất cả sẽ có trong bài viết của GFI Blockchain.

Diễn biến vụ tấn công trên EraLend

Vụ tấn công trên EraLend bắt đầu vào khoảng 16h25 ngày 25/7/2023 (theo giờ Việt Nam). Kẻ tấn công sử dụng một phương thức gọi là read-only re-entrancy attack, thường được sử dụng với những dự án có nhiều smart contract.

Với trường hợp của EraLend, lỗ hổng nằm ở chức năng “token burn” và “mint” cho hoạt động lending. Theo công ty audit BlockSec:

“Kẻ tấn công đã thao túng giá của pool thanh khoản trong hoạt động burn/mint token của SyncSwap, nơi mà tài sản dự trữ được sử dụng để tính giá của pool thanh khoản… Các dự án phụ thuộc vào SyncSwap để tính toán giá của pool thanh khoản đang gặp nguy cơ.”

Với phương thức này, kẻ tấn công đã rút tổng cộng 3,4 triệu USDC khỏi giao thức. Đây là địa chỉ ví của hacker, mình sẽ để link DeBank cho anh em tiện theo dõi: 0xf1D076c9Be4533086f967e14EE6aFf204D5ECE7a.

Giao dịch phức tạp mà hacker sử dụng để tấn công EraLend

Động thái kiểm soát tình hình từ EraLend

Theo thông tin từ EraLend, đội ngũ phát triển đã ngừng hoạt động vay tài sản, và ngừng cho vay đối với token USDC và LP token của SyncSwap. Thông báo trong Discord của dự án đã chỉ rõ: “Chúng tôi muốn đảm bảo rằng cuộc tấn công đã được kiểm soát và kẻ tấn công không còn có khả năng tiếp tục hành động của mình.”

Đội ngũ phát triển EraLend cũng đã lên một thread để tóm tắt tình hình vụ hack, trong đó có nêu: “Chúng tôi đang tích cực hợp tác với các cầu nối, đội ngũ an ninh, sàn giao dịch và các cơ quan chức năng để điều tra và truy tìm luồng tiền. Trọng tâm là khôi phục lại số tiền cho 500 nghìn người dùng giao thức.”

5/8 We're actively joining forces with bridges, security teams, exchanges, and law enforcement to investigate and trace the flow of the funds. Our primary focus is on recovering the funds for our 500k protocol users. We're also analyzing leads gathered from assisting agencies.

— EraLend | The #1 Money Market on zkSync🥇 (@Era_Lend) July 25, 2023

Trong diễn biến mới nhất, tối ngày 26/7, đội ngũ EraLend đã gửi một lá thư trên Twitter yêu cầu hacker trả lại 90% số tiền đã lấy, và cho phép hacker giữ lại 10% số tiền xem như phần thưởng cho việc tìm ra lỗ hổng. Nếu hacker không thực hiện, EraLend sẽ “đặt một phần thưởng khác cho bất kỳ cá nhân hoặc tổ chức nào giúp truy tố kẻ tấn công và khôi phục lại số tiền đã lấy.”

A letter to the exploiter:

We are aware that you could have drained all available liquidity during yesterday's breach, yet chose to exploit only a portion. We interpret this as an expression of your ‘goodwill’ or potential concern for the victims or wider impact of such a severe…

— EraLend | The #1 Money Market on zkSync🥇 (@Era_Lend) July 26, 2023

Hậu quả của vụ hack EraLend

Vụ hack khiến người dùng EraLend vội vàng rút tài sản khỏi giao thức, khiến TVL của nền tảng này giảm tới 60%, tương đương 15 triệu USD chỉ trong một ngày.

TVL trên EraLend bốc hơi 60% chỉ trong một ngày (Nguồn DefiLlama)

Vụ hack của EraLend còn làm trầm trọng hơn tình trạng dòng tiền tháo chạy khỏi hệ sinh thái zkSync Era. Theo số liệu từ L2BEAT, từ đầu tháng 7 đến nay, số tài sản trên blockchain zkSync Era đã giảm hơn 300 triệu USD, từ mức đỉnh 735 triệu USD vào ngày 5/7.

Cá nhân mình cũng xin chia buồn với EraLend. Dự án này mới đổi tên từ Nexon Finance, giờ chẳng lẽ phải đổi tên một lần nữa để mọi người quên đi vụ hack hay sao? (Just kidding)

5 lưu ý quan trọng cho người dùng EraLend và zkSync

Vụ hack xảy ra là điều không ai mong muốn, nhưng chúng ta có thể rút kinh nghiệm từ biến cố này. Dưới đây là 5 điều mình muốn lưu ý với người dùng EraLend và zkSync:

Thứ nhất, với những anh em bị kẹt tiền trên EraLend thì xin chân thành chia buồn. Hy vọng airdrop từ zkSync (nếu có) sẽ xoa dịu nỗi đau này của anh em. Một tia hy vọng nhỏ khác là anh em có thể chờ đội ngũ EraLend làm chủ tình hình và đưa ra kế hoạch bồi thường cho các nạn nhân.
Thứ hai, anh em nào đã từng tương tác trên EraLend, phải nhanh chóng revoke các lệnh appoval trước đây (cho phép smart contract sử dụng tài sản trong ví). Revoke ngay tại: https://revoke.cash/ (chọn mạng zkSync).
Thứ ba, trong thời gian này có rất nhiều tài khoản scam trên Twitter lợi dụng sự hoang mang của các nạn nhân để kêu gọi click vào các đường link lừa đảo. Khi kết nối ví và approve giao dịch có thể gây mất tài sản, anh em tuyệt đối không click vào các link này. Ví dụ hình bên dưới, tài khoản lừa đảo có username là @_zksnyc, trong khi tài khoản chính chủ của zkSync là @zksync.

Tuyệt đối không click vào link scam từ các tài khoản không chính chủ

Thứ tư, như BlockSec đã cảnh báo, những dự án phụ thuộc vào SyncSwap để tính giá của pool thanh khoản sẽ không an toàn. Anh em phải cân nhắc kỹ khi giao dịch trên các dự án này, đặc biệt là hoạt động add thanh khoản và cho vay.
Cuối cùng, anh em cần nhớ rằng hầu hết dApp trên zkSync đều được phát triển bởi team ẩn danh. Do đó khi xảy ra hack (hoặc tự hack) thì nếu trúng phải team không chính trực hoặc không đủ nguồn lực bồi thường thì anh em sẽ mất tiền 100%.

Kết luận

Vụ tấn công vào EraLend – giao thức lending lớn nhất blockchain zkSync – đã lấy đi 3,4 triệu USDC và gián tiếp thổi bay 60% TVL của dự án này. Eralend đã nhanh chóng tìm cách khắc phục, nhưng vụ việc đã để lộ ra lỗ hổng của các dự án phụ thuộc vào SyncSwap để tính giá của pool thanh khoản.

Người dùng đã từng tương tác với EraLend cần nhanh chóng revoke các lệnh approval. Những bạn nào đang kẹt tài sản trên EraLend cứ bình tĩnh chờ động thái tiếp theo từ dự án, tránh click vào các link lừa đảo dẫn đến mất tiền nhiều hơn.