ZkLend遭骇损失近千万美元，开出10%奖金盼骇客归还资金

去中心化借贷协议 zkLend 于 2 月 12 日遭遇骇客攻击，损失高达 900 万美元。该协议向攻击者提供 10% 悬赏，若在 2 月 14 日前归还剩余资金，将免除其法律责任。

zkLend 遭骇 900 万美元，骇客资金经 Railgun 洗白

根据区块链安全团队慢雾 (SlowMist) 的报告，Starknet 链上的借贷专案 zkLend 遭到骇客攻击，导致 900 万美元资金损失。

SlowMist Security Alert

The lending project @zkLend on the Starknet chain was attacked today, with more than $9 million in assets lost!

The SlowMist security team found that the core reason for this attack lies in the safeMath library adopted by the market contract. When… pic.twitter.com/S3P73E4uxu

— SlowMist (@SlowMist_Team) February 12, 2025

此次攻击的核心原因在于市场合约采用的 safeMath 程式。在执行除法计算时使用直接除法 (direct division)，导致计算提现操作中需要销毁的 zToken 实际数量时，出现向下取整的漏洞。攻击者可能利用该漏洞来非法获取利益。

团队表示，「请用户密切关注自己在 zkLend 上的资产状态，并 暂停与 zkLend 相关的存款等操作，以避免可能的损失。」

后续，另一间资安公司 Cyvers 也指出：

攻击者将被盗资金转移至以太坊区块链，并透过隐私服务 Railgun 进行洗钱。然而，由于 Railgun 的协议政策，这些资金最终被退回到原先的地址。

(什么是 RAILGUN？Privacy Pools：无辜证明的新方法)

zkLend 向骇客提出 10% 奖金交涉

在攻击发生后，zkLend 随即发布公告，与骇客以 10% 的奖金进行谈判，宣称若在 2 月 14 日前归还剩余资金，将免除其一切法律责任：

我们知道你是今日攻击 zkLend 的幕后黑手，你可以保留 10% 的资金作为白帽骇客奖励，并归还剩下的 90%，也就是约 3,300 枚 ETH。

同时，zkLend 更表示，他们已与安全公司及执法机构合作，若在 14 日前没有收到回应，将采取进一步行动追查并起诉攻击者。

受灾用户怒批团队放任资金流出

对此，受害用户 0xYANGZAI 于社群媒体 X 上表达了对 StarkNet 官方不作为的不满，质疑是否存在内部人员参与：

在被盗 12 小时后，他们仍然放任 L2 与 L1 跨链桥的 1,800 枚 ETH 的转出，不禁让人怀疑是不是监守自盗。

他表示，预计本周前往香港报警，并号召其他受害者一起行动，同时呼吁针对骇客地址曾互动过的 DEX 及 CEX 进行调查。

加密领域骇客攻击层出不穷

回顾 Chainalysis 的 2024 资安事件报告，被盗资金较去年同期成长了约 21%，达到 22 亿美元。尽管被盗资金中主要来自去中心化金融 (DeFi) 服务，但第二季及第三季最主要的被盗目标是仍中心化服务。

2024 年，私钥泄漏是最主要的加密货币被盗原因 (43.8%)，其中似乎大部分都与北韩骇客的猖獗有关，他们陆续渗透许多加密公司，并破坏他们的网路。

据悉，北韩骇客从各加密专案窃取的金额又创下了历史高点，来到 13.4 亿美元，占全年被盗总金额的 61%。

(ZachXBT 揭露北韩骇客犯罪网路，佯装开发者渗透团队再卷款：月收 50 万美元)

随着加密货币安全问题日益严重，自主资安意识的防范更显得格外重要。

这篇文章 zkLend遭骇损失近千万美元，开出10%奖金盼骇客归还资金 最早出现于 链新闻 ABMedia。