EraLend adalah protokol money market native pelopor zkSync Era — diluncurkan sebagai salah satu platform lending dan borrowing pertama di zkSync Era, menawarkan pinjaman overcollateralized gaya Compound V2 untuk USDC, ETH, wBTC, dan token ekosistem zkSync; protokol mengalami exploit read-only reentrancy pada Juli 2023 yang mengakibatkan kerugian ~$3,4 juta, kemudian di-patch dan dilanjutkan dengan keamanan yang ditingkatkan, mewakili contoh penting dari vektor serangan baru dalam zkEVM lending.

Cara Kerja

Model Compound V2 di zkSync:

EraLend mengikuti desain money market Compound V2 standar:

• erTokens — token interest-bearing yang mewakili deposit pemberi pinjaman (analog dengan cToken)
• Deposit USDC → terima erUSDC (tingkat pertukaran meningkat seiring waktu saat bunga terakumulasi)
• Pinjam terhadap jaminan hingga persentase Collateral Factor
• Health Factor dipantau; likuidasi ketika HF < 1,0

Pasar yang didukung:

• USDC (pasar pinjam stablecoin utama)
• WETH (lending dan borrowing ETH)
• WBTC (Bitcoin di zkSync)
• Token LP sebagai jaminan (fitur yang memperkenalkan risiko exploit)

Exploit Juli 2023: Read-Only Reentrancy

EraLend menerima token LP SyncSwap sebagai jaminan — memungkinkan LP mendepositkan posisi likuiditas SyncSwap mereka sebagai jaminan untuk meminjam.

Vektor serangan:

1. Selama transaksi pool SyncSwap, state internal pool sementara tidak konsisten — saldo dalam proses pembaruan
2. SyncSwap menggunakan callback selama swap (untuk fungsi flash loan atau routing)
3. Dalam callback ini, penyerang memanggil oracle EraLend, yang membaca cadangan pool SyncSwap
4. Cadangan pada saat itu sementara meningkat dibandingkan dengan state yang diselesaikan (karena state pertengahan transaksi)
5. Valuasi token LP EraLend melihat cadangan yang meningkat dan memungkinkan penyerang meminjam lebih banyak dari nilai jaminan sebenarnya
6. Pinjaman tidak dibayar kembali — penyerang mendapat untung dari pinjaman berlebih

Ini adalah “read-only” reentrancy: penyerang tidak mengubah storage di SyncSwap, hanya membaca state yang tidak konsisten selama callback.

Kerugian: ~$3,4 juta

Kritik

Exploit EraLend mengilustrasikan tantangan keamanan yang unik untuk protokol yang dibangun di lingkungan zkEVM baru: sifat eksekusi zkSync yang berbeda dari Ethereum mainnet mempengaruhi beberapa pola reentrancy guard. Protokol money market yang menerima token LP sebagai jaminan harus sangat berhati-hati dengan kerentanan oracle selama state transaksi pertengahan.

Sentimen Media Sosial

EraLend mendapat perhatian komunitas kripto saat exploit Juli 2023 terjadi. Di X/Twitter, exploit dibahas sebagai contoh vektor serangan read-only reentrancy. Di komunitas kripto Indonesia, EraLend dikenal di kalangan pengguna DeFi yang aktif di zkSync Era.

Terakhir diperbarui: 2026-04

Istilah Terkait

• zkSync Era
• Money Market DeFi
• Reentrancy Attack
• Collateral Factor

Lihat Juga

• Mengapa Smart Contract Audit Gagal
• Jembatan Kripto dan Keamanan Hack
• Tukar kripto dengan ChangeNOW

Sumber

• EraLend (https://eralend.com) — situs resmi protokol lending zkSync Era.
• CertiK / Audit Reports — laporan audit keamanan pasca-exploit EraLend.
• BlockSec. “EraLend Read-Only Reentrancy Analysis.” (2023) — analisis teknis vektor serangan exploit.