Starknet链借贷协议zkLend被黑损失近干万美元!开出10%奖金盼黑客归还

去中心化借贷协议zkLend于2月12日遭遇黑客攻击，损失高达900万美元。该协议向攻击者提供10%悬赏，若在2月14日前归还剩余资金，将免除其法律责任。

zkLend遭黑900万美元，黑客资金经Railgun洗白

根据区块链安全团队慢雾(Slow Mist)的报告，Starknet链上的借贷项目zkLend遭到骇客攻击，导致900万美元资金损失。

此次攻击的核心原因在于市场合约采用的safeMath程序。在执行除法计算时使用直接除法(direct division)，导致计算提现操作中需要销毁的zToken实际数量时，出现向下取整的漏洞。攻击者可能利用该漏洞来非法获取利益,团队表示，「请用户密切关注自己在zkLend上的资产状态，并暂停与zkLend相关的存款等操作，以避免可能的损失。」

后续，另一间资安公司Cyvers也指出:攻击者将被盗资金转移至以太坊区块链，并透过隐私服务Railqun进行洗然而，由于Railgun的协议政策，这些资金最终被退回到原先的地址。

zkLend向黑客提出10%奖金交涉

在攻击发生后，zkLend随即发布公告，与黑客以10%的奖金进行谈判，宣称若在2月14日前归还剩余资金，将免除其一切法律责任:我们知道你是今日攻击zkLend的幕后黑手，你可以保留10%的资金作为白帽黑客奖励，并归还剩下的90%，也就是约3,300枚ETH。

同时，zkLend更表示，他们已与安全公司及执法机构合作，若在14日前没有收到回应，将采取进一步行动追查并起诉攻击者。

受灾用户怒批团队放任资金流出

对此，受害用户0XYANGZAI于社群媒体X上表达了对StarkNet官方不作为的不满，质疑是否存在内部人员参与.

在被盗12小时后，他们仍然放任L2与L1跨链桥的1,800枚ETH的转出，不禁让人怀疑是不是监守自盗。
他表示，预计本周前往香港报警，并号召其他受害者一起行动，同时呼吁针对骇客地址曾互动过的DEX及CEX进行调查。

加密领域黑客攻击层出不穷

回顾Chainalysis的2024资安事件报告，被盗资金较去年同期成长了约21%，达到22亿美元。尽管被盗资金中主要来自去中心化金融(DeFi)服务，但第二季及第三季最主要的被盗目标是仍中心化服务。

2024年，私钥泄漏是最主要的加密货币被盗原因(43.8%)，其中似乎大部分都与北韩黑客的猖獗有关，他们陆续渗透许多加密公司，并破坏他们的网络。

据悉，北韩黑客从各加密专案窃取的金额又创下了历史高点，来到13.4亿美元，占全年被盗总金额的61%。

随着加密货币安全问题日益严重，自主资安意识的防范更显得格外重要。

• 以太坊
• 区块链
• 加密货币