zkLend, basé sur Starknet, subit une exploitation, plus de 9 millions de dollars drainés

Le protocole de prêt décentralisé zkLend a perdu plus de 9 millions de dollars après qu'un pirate ait exploité les contrats intelligents du protocole.

Selon une annonce du 12 février, le protocole basé sur Starknet a signalé l'incident de sécurité plus tôt dans la journée, notant que son équipe interne enquêtait sur la question.

Entre-temps, zkLend a suspendu tous les retraits et a lancé une enquête en collaboration avec plusieurs équipes de sécurité, notamment la Starknet Foundation, StarkWare, l'équipe de sécurité Binance et Hypernative Labs, ainsi qu'avec les forces de l'ordre.

Une autopsie de la manière dont l'exploit s'est produit n'a pas encore été publiée.

Les estimations initiales de la société de sécurité Cyvers ont évalué les pertes à 4,9 millions de dollars, mais dans une mise à jour ultérieure, la société a déclaré que les pertes totales dépassaient 9 millions de dollars.

L'attaquant aurait transféré les actifs volés sur Ethereum et tenté de les blanchir via le service de mixage axé sur la confidentialité Railgun.

Cependant, en raison des politiques internes de Railgun, une partie des fonds a été renvoyée à leur adresse d'origine.

Efforts de récupération

Outre les enquêtes en cours, zkLend a offert au pirate une prime de sécurité.

Le projet a envoyé un message sur la chaîne à l'attaquant, lui proposant de conserver 10 % des actifs volés sans aucune action en justice s'il rendait les 90 % restants.

Avec cela, zkLend espère récupérer 3 300 ETH ou environ 8,6 millions de dollars des fonds perdus aux prix actuels du marché.

De telles primes sont souvent offertes par les victimes d'exploits dans le secteur DeFi et, dans quelques cas, elles conduisent même au recouvrement de fonds.

Par exemple, après que Euler Finance ait été piraté pour 196 millions de dollars en mars 2023, le protocole a offert une prime de 1 million de dollars pour sa capture; le pirate a finalement négocié avec Euler et a restitué la majeure partie des fonds volés.

Dans le cas de l'incident zkLend, le hacker a jusqu'à 00h00 UTC du 14 février pour répondre, après quoi le projet a juré d'escalader l'affaire auprès des forces de l'ordre et d'intensifier les efforts pour les retrouver.

Le deuxième exploit DeFi de la semaine

L'exploit d'aujourd'hui marque la deuxième attaque majeure dans l'espace DeFi cette semaine. Un jour seulement auparavant, le déployeur de pièces meme basé sur la chaîne BNB, Four.Meme, avait été exploité, ce qui a conduit le protocole à suspendre le lancement de pools de liquidités sur PancakeSwap.

Cependant, les pertes dues à l'attaque ont été beaucoup moins graves, les premières estimations indiquant qu'environ 200 000 $ de jetons BNB ont été drainés.

Comme l'a déjà signalé Invezz, les piratages de cryptomonnaies ont bondi de plus de neuf fois en janvier 2025 par rapport au mois précédent. Plus de 73 millions de dollars ont été volés par des acteurs malveillants, bien que le nombre reflète une baisse de 44 % par rapport à janvier 2023.

La chaîne BNB a été la plus ciblée, ayant subi 10 attaques signalées, suivie d'Ethereum.