Starknet-baserede zkLend lider under udnyttelse, over $9 millioner drænet

Decentraliseret udlånsprotokol zkLend tabte over 9 millioner dollars, efter at en hacker udnyttede protokollens smarte kontrakter.

Ifølge en meddelelse den 12. februar markerede den Starknet-baserede protokol sikkerhedshændelsen tidligere i dag og bemærkede, at dets interne team undersøgte sagen.

I mellemtiden har zkLend suspenderet alle tilbagetrækninger og iværksat en undersøgelse i samarbejde med flere sikkerhedshold, herunder Starknet Foundation, StarkWare, Binance Security Team og Hypernative Labs, sammen med retshåndhævelse.

En obduktion af, hvordan udnyttelsen skete, er endnu ikke offentliggjort.

Indledende estimater fra sikkerhedsfirmaet Cyvers satte tab på $4,9 millioner, men i en efterfølgende opdatering sagde firmaet, at det samlede tab oversteg $9 millioner.

Angriberen slog efter sigende bro mellem de stjålne aktiver til Ethereum og forsøgte at hvidvaske dem gennem den privatlivsfokuserede blandingstjeneste Railgun.

Men på grund af Railguns interne politikker blev en del af midlerne returneret til deres oprindelige adresse.

Genopretningsbestræbelser

Udover de igangværende undersøgelser har zkLend tilbudt hackeren en whitehat dusør.

Projektet sendte en on-chain-besked til angriberen, der foreslog, at de beholder 10 % af de stjålne aktiver uden retslige skridt, hvis de returnerer de resterende 90 %.

Med dette håber zkLend at genvinde 3.300 ETH eller cirka $8,6 millioner af de tabte midler til aktuelle markedspriser.

Sådanne gaver tilbydes ofte af ofre for udnyttelser i DeFi-sektoren og fører i nogle få tilfælde endda til inddrivelse af midler.

For eksempel, efter at Euler Finance blev hacket for $196 millioner i marts 2023, tilbød protokollen en dusør på $1 million på deres hoved; hackeren forhandlede til sidst med Euler og returnerede de fleste af de stjålne midler.

For zkLend-hændelsen har hackeren indtil kl. 00:00 UTC den 14. februar til at reagere, hvorefter projektet har lovet at eskalere sagen til retshåndhævelse og intensivere indsatsen for at opspore dem.

Den anden DeFi-udnyttelse i denne uge

Dagens udnyttelse markerer det andet store angreb inden for DeFi-området i denne uge. Blot en dag før blev BNB-kæde-baserede meme-møntudvikler Four.Meme udnyttet, hvilket førte til protokollen, der suspenderede lancering af likviditetspulje på PancakeSwap.

Tabene fra angrebet var dog meget mindre alvorlige, med tidlige estimater, der hævdede, at omkring 200.0000 USD af BNB-tokens blev drænet.

Som tidligere rapporteret af Invezz, sprang kryptohack over ni gange i januar 2025 sammenlignet med den foregående måned. Over 73 millioner dollars blev stjålet af dårlige skuespillere, selvom tallet afspejler et fald på 44 % sammenlignet med januar 2023.

BNB-kæden var den mest målrettede kæde, efter at have været udsat for 10 rapporterede angreb, efterfulgt af Ethereum.