ZkLend зазнав збитків майже к доларів через вторгнення, видаливши 10% бонусу в надії повернути гроші хакеру

Децентралізація lendingprotocol zkLend була зламана 12 лютого, втративши до $9 млн. Протокол пропонує 10% винагороду зловмисникам, які звільняються від відповідальності, якщо кошти, що залишилися, будуть повернуті до 14 лютого.

zkLend піддався вторгненню на 900 мільйонів доларів, гроші хакера відбіли через Railgun

Згідно зі звітом команди безпеки блокчейну Slow Mist (SlowMist), zkLend, кредитний проект у ланцюжку Starknet, був зламаний, що призвело до втрати 9 мільйонів доларів коштів.

Сповіщення системи безпеки SlowMist

Кредитний проект, @zkLend у мережі Starknet, зазнав атаки сьогодні, активів було втрачено на суму понад 9 мільйонів доларів!

Команда безпеки SlowMist виявила, що основна причина цього нападу полягає в бібліотеці safeMath, яку використовує контракт ринку. Коли… pic.twitter.com/S3P73E4uxu

— SlowMist (@SlowMist_Team) 12 Лютого, 2025

Основною причиною цієї атаки є програма safeMath, яка використовується ринковим контрактом. При використанні прямого ділення (direct division) при виконанні обчислень ділення виникає уразливість округлення в меншу сторону при обчисленні фактичної кількості zTokens, які необхідно знищити в операції виведення. Зловмисник може використовувати цю вразливість для незаконного отримання вигоди.

Команда заявляє: "Будь ласка, уважно стежте за станом своїх активів на zkLend та тимчасово припиніть здійснення поповнень та інших операцій, пов'язаних з zkLend, щоб уникнути можливих втрат."

Пізніше, інша кібербезпекова компанія Cyvers також вказує:

Атакувальник перекине викрадені кошти на блокчейн Ethereum та відмиватиме їх через приватну службу Railgun. Однак через політику протоколупротокол, ці кошти врешті-решт повернуться на початкову адресу.

( ЩО ТАКЕ РЕЛЬСОТРОН? Пули конфіденційності: новий підхід до доведення невинуватості )

zkLend зробив пропозицію хакерам про переговори з 10% бонусом

Після атаки zkLend негайно оприлюднив оголошення про переговори з хакером за 10% винагороди, заявивши, що якщо залишок коштів буде повернуто до 14 лютого, то буде звільнений від будь-якої правової відповідальності:

Ми знаємо, що ви стоїте за сьогоднішнім нападом на zkLend, ви можете залишити 10% коштів як винагороду для білих шапок-хакерів і повернути решту, що становить близько 3,300 ETH.

Тим часом, zkLend заявив, що вони вже співпрацюють з безпековою компанією та правоохоронними органами, і якщо до 14 днів не отримають відповіді, вони вживуть подальших заходів для виявлення та судового переслідування зловмисника.

Постраждалі користувачі гнівно критикують команду за допущення виходу коштів

На це постраждалий користувач 0xYANGZAI висловив своє незадоволення в офіційному медіа X щодо бездіяльності команди StarkNet, підозрюючи у внутрішній участі персоналу:

Після 12 годин затримання вони все ж дозволили передати 1 800 ETH кросчейн-мостів L2 і L1, що викликало сумніви в тому, що вони крали у себе.

Він сказав, що розраховує вирушити до Гонконгу цього тижня, щоб повідомити про це в поліцію та закликати інших жертв вжити заходів, а також закликав до розслідування щодо DEX та CEX, з якими взаємодіяла адреса хакера.

В галузі криптографії нескінченні кібератаки

Озираючись на звіт Chainalysis про інциденти безпеки за 2024 рік, викрадені кошти зросли приблизно на 21% порівняно з аналогічним періодом минулого року до 2,2 мільярда доларів. Незважаючи на те, що вкрадені кошти в основному надходили від служби Децентралізація Financial (DeFi), основними об'єктами крадіжок у другому та третьому кварталах все одно залишалися централізовані послуги.

У 2024 році витоки приватних ключів є основною причиною крадіжки криптовалюти (43,8% ), більшість з яких, схоже, пов'язані з нестримними північнокорейськими хакерами, які проникли в багато криптокомпаній і зламали їхні мережі.

Повідомляється, що сума, вкрадена північнокорейськими хакерами з різних криптопроєктів, досягла історичного максимуму, досягнувши $1,34 млрд, що становить 61% від загальної суми, викраденої за рік.

(ZachXBT розкрив мережу злочинців-хакерів Північної Кореї, що видають себе за розробників, проникають у команду та знову виходять з грошима: щомісяця отримують 50 тисяч доларів США)

Зі зростанням серйозності проблем з безпекою криптовалют самостійна свідомість щодо інформаційної безпеки стає надзвичайно важливою.

Ця стаття zkLend була зламана і втратила майже десять мільйонів доларів, запропонувавши бонус у розмірі 10% в надії, що хакери повернуть кошти, вперше з'явилася в Chain News ABMedia.