SlowMist、市場契約のSafeMathライブラリがzkLendの9.5万ドルのエクスプロイトの主な原因であると特定

ブロックチェーンセキュリティ会社 スローミスト 同社のセキュリティチームが最近の攻撃の核心に重大な脆弱性を発見したことを明らかにした。 zk貸します は、Starknet 上に構築されたレイヤー 2 マネー マーケット プロトコルです。同社は、この問題は市場契約内の safeMath ライブラリの実装に起因すると考えています。

SlowMist によると、この脆弱性は除算の計算方法から生じます。契約では直接除算演算が実行されるため、引き出し操作中にバーンする必要がある zToken の正確な量を決定する際に切り捨ての脆弱性が生じます。この欠陥により、攻撃者が不一致を悪用して不正な利益を得る機会が生まれます。

調査結果を受けて、スローミストはzkLendのユーザーに対し、資産のセキュリティに引き続き注意するよう勧告した。同社は、潜在的な金銭的損失のリスクを軽減するため、プラットフォーム上で預金関連の取引を一時的に控えることを推奨している。

zkLend は本日早朝、Starknet ネットワークで 9.5 万ドルの不正使用に遭遇しました。これを受けて、プロトコルからの引き出しは一時停止され、zkLend はハッカーに連絡を取り、盗まれた資金の 10% を「ホワイトハット」報酬として提示するとともに、残りの 90%、つまり 3,300 ETH、約 8.4 万ドルの返還を要求しました。

zkLendはソーシャルメディアプラットフォームXで共有した声明で、「送金を受け取った時点で、当社は攻撃に関するすべての責任からお客様を解放することに同意します。当社は現在、セキュリティ会社や法執行機関と協力しています。00年00月14日午前2025時（UTC）までにご連絡がない場合は、お客様を追跡し、起訴するための次のステップに進みます」と述べた。

リアルタイムセキュリティアラートプラットフォーム「Cyvers Alerts」は、盗まれた資金がイーサリアムにブリッジされ、プライバシー重視のプロトコル「Railgun」を通じてロンダリングされたと報告した。

zkLendとは何ですか?

zk貸します ユーザーの流動性ニーズに合わせてカスタマイズされた、ユーザーフレンドリーで安全かつ効率的なマネーマーケットプラットフォームを提供することを目指しています。このプロトコルは、主に小売ユーザー向けに設計された許可のない貸付市場であり、ユーザーはいつでもウォレットを通じてデジタル資産を直接預け入れたり借りたりすることができます。預金者は、預け入れた資産を利用する借り手が支払う利息に基づいて利回りを得ることができます。さらに、ユーザーは預け入れた資産を担保として活用し、他のデジタル資産を借り入れることができます。

このプロジェクトは5年のシード資金調達ラウンドで2022万ドルを調達し、Delphi Digitalが投資を主導し、Three Arrows CapitalとStarkWareも参加した。