ZkLend đã bị hack và mất gần 10.000 đô la, cung cấp tiền thưởng 10% với hy vọng rằng các tin tặc sẽ trả lại tiền

Phi tập trung借貸giao thức zkLend 於 2 月 12 日遭遇駭客攻擊，損失高達 900 萬美元。該giao thức向攻擊者提供 10% 懸賞，若在 2 月 14 日前歸還剩餘資金，將免除其法律責任。

zkLend bị hack 900 triệu đô la, tiền của hacker được rửa trắng bằng Railgun

Theo một báo cáo của nhóm bảo mật blockchain Slow Mist (SlowMist), zkLend, một dự án cho vay trên chuỗi Starknet, đã bị hack, dẫn đến mất 9 triệu đô la tiền.

Cảnh báo an ninh SlowMist

Dự án cho vay @zkLend trên chuỗi Starknet đã bị tấn công ngày hôm nay, với hơn 9 triệu đô la tài sản bị mất!

Nhóm an ninh SlowMist phát hiện rằng nguyên nhân chính của cuộc tấn công này nằm ở thư viện safeMath được áp dụng bởi hợp đồng thị trường. Khi… pic.twitter.com/S3P73E4uxu

— SlowMist (@SlowMist_Team) Tháng 2 12, 2025

Lý do cốt lõi của vụ tấn công này là chương trình safeMath được sử dụng trong hợp đồng thị trường. Khi thực hiện phép chia, sử dụng phép chia trực tiếp (direct division) dẫn đến lỗ hổng làm tròn xuống khi tính số lượng thực tế của zToken cần phá hủy trong quá trình rút tiền. Kẻ tấn công có thể tận dụng lỗ hổng này để lợi dụng một cách phi pháp.

Nhóm cho biết, "Vui lòng theo dõi tình hình tài sản của mình trên zkLend một cách cẩn thận và tạm ngưng các giao dịch nạp tiền liên quan đến zkLend để tránh mất mát có thể xảy ra."

Sau đó, một công ty bảo mật khác, Cyvers, cũng chỉ ra:

Kẻ tấn công sẽ chuyển tiền đánh cắp sang chuỗi khối Ethereum và rửa tiền thông qua dịch vụ bảo mật Phi tập trung Railgun. Tuy nhiên, do chính sách giao thức của Railgun, số tiền này cuối cùng đã được hoàn trả về địa chỉ ban đầu.

(什麼是 RAILGUN？Privacy Pools：無辜證明的新方法)

zkLend cung cấp 10% tiền thưởng cho các tin tặc

Sau khi xảy ra cuộc tấn công, zkLend ngay lập tức phát thông báo, đàm phán với hacker với mức thưởng 10%, tuyên bố rằng nếu trả lại số dư tiền vào ngày 14 tháng 2, họ sẽ được miễn trách nhiệm pháp lý.

Chúng tôi biết rằng bạn đứng sau cuộc tấn công ngày hôm nay vào zkLend và bạn có thể giữ 10% số tiền của mình dưới dạng phần thưởng hack mũ trắng và trả lại 90% còn lại, tương đương khoảng 3.300 ETH.

Đồng thời, zkLend cũng cho biết rằng họ đã hợp tác với các công ty an ninh và cơ quan thực thi pháp luật, nếu không nhận được phản hồi trong vòng 14 ngày, họ sẽ tiến hành hành động tiếp theo để truy tìm và kiện cáo kẻ tấn công.

Những người dùng bị ảnh hưởng đã giận dữ chỉ trích nhóm vì đã cho phép tiền chảy ra

Đối với điều này, người dùng bị hại 0xYANGZAI đã thể hiện sự bất mãn với việc StarkNet chính thức không hành động trên truyền thông cộng đồng X, nghi ngờ liệu có sự tham gia của nhân viên nội bộ hay không:

Chỉ sau 12 giờ bị đánh cắp, họ vẫn để cho 1.800 ETH trên cầu nối L2 và L1 được chuyển đi, không thể không khiến người ta nghi ngờ họ có phải là người tự mình kiểm soát hoặc không.

Ông cho biết ông dự kiến sẽ đến Hồng Kông trong tuần này để báo cáo với cảnh sát và kêu gọi các nạn nhân khác hành động, cũng như kêu gọi một cuộc điều tra về DEX và CEX mà địa chỉ của tin tặc đã tương tác.

Các cuộc tấn công hack trong không gian tiền điện tử là vô tận

Xem lại báo cáo sự kiện an ninh mạng của Chainalysis năm 2024, số tiền bị đánh cắp tăng khoảng 21% so với cùng kỳ năm trước, đạt 22 tỷ đô la. Mặc dù số tiền bị đánh cắp chủ yếu đến từ dịch vụ tài chính Phi tập trung (DeFi), nhưng mục tiêu chính bị đánh cắp trong quý hai và quý ba vẫn là các dịch vụ trung tâm.

Vào năm 2024, rò rỉ khóa cá nhân là nguyên nhân hàng đầu gây ra hành vi trộm cắp tiền điện tử (43,8% ), hầu hết trong số đó dường như liên quan đến các tin tặc Triều Tiên tràn lan, những người đã xâm nhập vào nhiều công ty tiền điện tử và vi phạm mạng của họ.

The North Korean hackers have reportedly stolen a record high amount of 1.34 billion US dollars from various encrypted projects, accounting for 61% of the total stolen amount for the year.

(ZachXBT tiết lộ mạng tội phạm hacker Bắc Triều Tiên, giả vờ là nhóm phát triển xâm nhập và rút tiền: thu nhập hàng tháng 50 nghìn đô la Mỹ)

Với tính bảo mật ngày càng nghiêm trọng của tiền điện tử, việc ngăn chặn nhận thức bảo mật thông tin độc lập là đặc biệt quan trọng.

Bài viết này zkLend đã bị hack và mất gần mười triệu đô la, cung cấp tiền thưởng 10% với hy vọng rằng các tin tặc sẽ trả lại tiền lần đầu tiên xuất hiện trong Chain News ABMedia.