SlowMist xác định thư viện SafeMath trong hợp đồng thị trường là nguyên nhân cốt lõi gây ra vụ khai thác 9.5 triệu đô la của zkLend

Công ty bảo mật chuỗi khối sương mù chậm đã tiết lộ rằng nhóm bảo mật của họ đã xác định được một lỗ hổng nghiêm trọng trong cốt lõi của cuộc tấn công gần đây vào zkCho vay , một giao thức thị trường tiền tệ Lớp 2 được xây dựng trên Starknet. Công ty cho rằng vấn đề này là do việc triển khai thư viện safeMath trong hợp đồng thị trường.

Theo SlowMist, lỗ hổng phát sinh từ cách xử lý các phép tính chia. Hợp đồng thực hiện các hoạt động chia trực tiếp, dẫn đến lỗ hổng làm tròn xuống khi xác định số lượng zToken chính xác phải được đốt trong quá trình rút tiền. Lỗ hổng này tạo cơ hội cho kẻ tấn công khai thác sự khác biệt và thu được lợi ích trái phép.

Để ứng phó với những phát hiện này, SlowMist đã khuyên người dùng zkLend nên cảnh giác về tính bảo mật của tài sản của họ. Công ty khuyến cáo tạm thời không thực hiện các giao dịch liên quan đến tiền gửi trên nền tảng này để giảm thiểu rủi ro về tổn thất tài chính tiềm ẩn.

zkLend đã trải qua một cuộc khai thác 9.5 triệu đô la trên mạng lưới Starknet vào đầu ngày hôm nay. Để ứng phó, việc rút tiền trên giao thức đã bị tạm dừng và zkLend đã liên hệ với tin tặc, cung cấp cho họ phần thưởng "mũ trắng" là 10% số tiền bị đánh cắp trong khi yêu cầu trả lại 90% còn lại, tương đương với 3,300 ETH, khoảng 8.4 triệu đô la.

Trong một tuyên bố được chia sẻ trên nền tảng truyền thông xã hội X, zkLend cho biết, “Sau khi nhận được chuyển khoản, chúng tôi đồng ý giải phóng bạn khỏi mọi trách nhiệm liên quan đến cuộc tấn công. Chúng tôi đang làm việc với các công ty bảo mật và cơ quan thực thi pháp luật ở giai đoạn này. Nếu chúng tôi không nhận được phản hồi từ bạn trước 00:00 UTC, ngày 14 tháng 2025 năm XNUMX, chúng tôi sẽ tiến hành các bước tiếp theo để theo dõi và truy tố bạn.”

Nền tảng cảnh báo bảo mật thời gian thực Cyvers Alerts báo cáo rằng số tiền bị đánh cắp đã được chuyển đến Ethereum và rửa thông qua giao thức tập trung vào quyền riêng tư Railgun.

ZkLend là gì?

zkCho vay nhằm mục đích cung cấp một nền tảng thị trường tiền tệ thân thiện với người dùng, an toàn và hiệu quả được thiết kế riêng để đáp ứng nhu cầu thanh khoản của người dùng. Giao thức này là một thị trường cho vay không cần xin phép được thiết kế chủ yếu cho người dùng bán lẻ, cho phép họ gửi và vay tài sản kỹ thuật số trực tiếp thông qua ví của họ bất kỳ lúc nào. Người gửi có thể kiếm được lợi nhuận dựa trên lãi suất do người vay trả khi sử dụng tài sản đã gửi. Ngoài ra, người dùng có thể tận dụng tài sản đã gửi của mình làm tài sản thế chấp để vay các tài sản kỹ thuật số khác.

Dự án đã huy động được 5 triệu đô la trong vòng gọi vốn hạt giống vào năm 2022, với Delphi Digital dẫn đầu khoản đầu tư và Three Arrows Capital và StarkWare cũng tham gia.