去中心化借贷协议 zkLend 于 2 月 12 日遭遇黑客攻击，损失高达 900 万美元。该协议向攻击者提供 10% 悬赏，若在 2 月 14 日前归还剩余资金，将免除其法律责任。

zkLend 遭黑 900 万美元，黑客资金经 Railgun 洗白

根据区块链安全团队慢雾 (SlowMist) 的报告，Starknet 链上的借贷专案 zkLend 遭到黑客攻击，导致 900 万美元资金损失。

此次攻击的核心原因在于市场合约采用的 safeMath 程式。在执行除法计算时使用直接除法 (direct division)，导致计算提现操作中需要销毁的 zToken 实际数量时，出现向下取整的漏洞。攻击者可能利用该漏洞来非法获取利益。

团队表示，「请用户密切关注自己在 zkLend 上的资产状态，并 暂停与 zkLend 相关的存款等操作，以避免可能的损失。」

后续，另一间资安公司 Cyvers 也指出：攻击者将被盗资金转移至以太坊区块链，并透过隐私服务 Railgun 进行洗钱。然而，由于 Railgun 的协议政策，这些资金最终被退回到原先的地址。

zkLend 向黑客提出 10% 奖金交涉

在攻击发生后，zkLend 随即发布公告，与黑客以 10% 的奖金进行谈判，宣称若在 2 月 14 日前归还剩余资金，将免除其一切法律责任：

我们知道你是今日攻击 zkLend 的幕后黑手，你可以保留 10% 的资金作为白帽黑客奖励，并归还剩下的 90%，也就是约 3,300 枚 ETH。

同时，zkLend 更表示，他们已与安全公司及执法机构合作，若在 14 日前没有收到回应，将采取进一步行动追查并起诉攻击者。

受灾用户怒批团队放任资金流出

对此，受害用户 0xYANGZAI 于社群媒体 X 上表达了对 StarkNet 官方不作为的不满，质疑是否存在内部人员参与：

在被盗 12 小时后，他们仍然放任 L2 与 L1 跨链桥的 1,800 枚 ETH 的转出，不禁让人怀疑是不是监守自盗。

他表示，预计本周前往香港报警，并号召其他受害者一起行动，同时呼吁针对黑客地址曾互动过的 DEX 及 CEX 进行调查。

加密领域黑客攻击层出不穷

回顾 Chainalysis 的 2024 资安事件报告，被盗资金较去年同期成长了约 21%，达到 22 亿美元。尽管被盗资金中主要来自去中心化金融 (DeFi) 服务，但第二季及第三季最主要的被盗目标是仍中心化服务。

2024 年，私钥泄漏是最主要的加密货币被盗原因 (43.8%)，其中似乎大部分都与黑客的猖獗有关，他们陆续渗透许多加密公司，并破坏他们的网络。

据悉，黑客从各加密项目窃取的金额又创下了历史高点，来到 13.4 亿美元，占全年被盗总金额的 61%。

随着加密货币安全问题日益严重，自主资安意识的防范更显得格外重要。

本文链接地址：https://www.wwsww.cn/hqfx/30554.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。