Starknet-basiertes zkLend wird gehackt, über 9 Millionen Dollar werden gestohlen

Das dezentrale Kreditprotokoll zkLend verlor über 9 Millionen Dollar, nachdem ein Hacker die Smart Contracts des Protokolls ausgenutzt hatte.

Laut einer Ankündigung vom 12. Februar hat das auf Starknet basierende Protokoll den Sicherheitsvorfall heute früh gemeldet und mitgeteilt, dass sein internes Team die Angelegenheit untersuche.

In der Zwischenzeit hat zkLend alle Auszahlungen ausgesetzt und in Zusammenarbeit mit mehreren Sicherheitsteams, darunter der Starknet Foundation, StarkWare, dem Binance Security Team und Hypernative Labs, sowie den Strafverfolgungsbehörden eine Untersuchung eingeleitet.

Eine Obduktion, wie der Exploit zustande kam, wurde noch nicht veröffentlicht.

Erste Schätzungen des Sicherheitsunternehmens Cyvers gingen von Verlusten in Höhe von 4,9 Millionen US-Dollar aus. In einer späteren Aktualisierung gab das Unternehmen jedoch an, dass der Gesamtschaden 9 Millionen US-Dollar übersteige.

Der Angreifer soll die gestohlenen Vermögenswerte auf Ethereum übertragen und versucht haben, sie über den auf Privatsphäre ausgerichteten Mischdienst Railgun zu waschen.

Aufgrund der internen Richtlinien von Railgun wurde jedoch ein Teil der Gelder an die ursprüngliche Adresse zurückgesendet.

Wiederherstellungsbemühungen

Neben den laufenden Ermittlungen hat zkLend dem Hacker eine Belohnung für die Entdeckung angeboten.

Das Projekt schickte eine On-Chain-Nachricht an den Angreifer und schlug vor, dass er 10 % der gestohlenen Vermögenswerte behalten könne, ohne dass rechtliche Schritte eingeleitet würden, wenn er die restlichen 90 % zurückgibt.

Damit hofft zkLend, 3.300 ETH oder etwa 8,6 Millionen US-Dollar der verlorenen Gelder zu aktuellen Marktpreisen wiederzuerlangen.

Solche Belohnungen werden häufig von Opfern von Ausbeutungen im DeFi-Sektor angeboten und führen in einigen Fällen sogar zur Wiedererlangung der Gelder.

So bot das Protokoll Euler Finance nach dem Hack von 196 Millionen US-Dollar im März 2023 eine Belohnung von 1 Million US-Dollar für die Festnahme des Hackers aus. Dieser verhandelte schließlich mit Euler und gab den Großteil der gestohlenen Gelder zurück.

Im Fall von zkLend hat der Hacker bis zum 14. Februar um 00:00 Uhr UTC Zeit zu reagieren. Danach hat das Projekt geschworen, die Angelegenheit an die Strafverfolgungsbehörden weiterzugeben und die Bemühungen zur Aufspürung des Hackers zu verstärken.

Der zweite DeFi-Exploit dieser Woche

Der heutige Exploit ist der zweite große Angriff im DeFi-Bereich in dieser Woche. Erst einen Tag zuvor wurde der auf der BNB-Chain basierende Meme-Coin-Deployer Four.Meme gehackt, was dazu führte, dass das Protokoll den Start von Liquiditätspools auf PancakeSwap aussetzte.

Die Verluste durch den Angriff waren jedoch deutlich geringer. Erste Schätzungen gehen davon aus, dass BNB-Token im Wert von etwa 200.000 US-Dollar gestohlen wurden.

Wie Invezz bereits berichtete, sind die Krypto-Hacks im Januar 2025 im Vergleich zum Vormonat um mehr als das Neunfache gestiegen. Böse Akteure haben mehr als 73 Millionen Dollar gestohlen, obwohl die Zahl im Vergleich zu Januar 2023 einen Rückgang von 44 % widerspiegelt.

Die BNB-Kette war die am häufigsten angegriffene Kette und erlitt 10 gemeldete Angriffe, gefolgt von Ethereum.