Сезон взломов на ZKsync объявляется открытым
Первый пострадавший - Era Lend.
Транзакция взлома на $1.7M USDC:
https://explorer.zksync.io/tx/0x99efebacb3edaa3ac34f7ef462fd8eed85b46be281bd1329abfb215a494ab0ef
Вероятная - причина в используемом коллатериале LP токенах протокола synсswap, где ошибка двойного reentrance - возможность сжигания токена перед вызовом функции update_reserves, что привело к неправильному трактованию стоимости резервов и манипуляции с ценой LP токенов по ораклу.
Ущерб оценивается в $2.7M USDC.