zkLend, basato su Starknet, subisce uno sfruttamento e vengono sottratti oltre 9 milioni di dollari

Il protocollo di prestito decentralizzato zkLend ha perso oltre 9 milioni di dollari dopo che un hacker ha sfruttato i contratti intelligenti del protocollo.

Secondo un annuncio del 12 febbraio, il protocollo basato su Starknet ha segnalato l’incidente di sicurezza all’inizio di oggi, precisando che il suo team interno stava indagando sulla questione.

Nel frattempo, zkLend ha sospeso tutti i prelievi e ha avviato un’indagine in collaborazione con più team di sicurezza, tra cui Starknet Foundation, StarkWare, Binance Security Team e Hypernative Labs, insieme alle forze dell’ordine.

Non è ancora stato pubblicato un resoconto dettagliato di come si è verificato lo sfruttamento.

Le stime iniziali della società di sicurezza Cyvers parlavano di perdite pari a 4,9 milioni di dollari, ma in un aggiornamento successivo la società ha affermato che le perdite totali hanno superato i 9 milioni di dollari.

L’attaccante avrebbe trasferito gli asset rubati su Ethereum e tentato di riciclarli tramite il servizio di mixaggio incentrato sulla privacy Railgun.

Tuttavia, a causa delle politiche interne di Railgun, una parte dei fondi è stata restituita all’indirizzo originale.

Sforzi di recupero

Oltre alle indagini in corso, zkLend ha offerto all’hacker una ricompensa per la scoperta.

Il progetto ha inviato un messaggio sulla blockchain all’attaccante, proponendogli di trattenere il 10% delle risorse rubate senza alcuna azione legale se avesse restituito il restante 90%.

Con questa iniziativa, zkLend spera di recuperare 3.300 ETH, pari a circa 8,6 milioni di dollari al prezzo di mercato attuale.

Queste ricompense vengono spesso offerte dalle vittime di exploit nel settore DeFi e, in alcuni casi, portano persino al recupero dei fondi.

Ad esempio, dopo che Euler Finance è stata hackerata per 196 milioni di dollari a marzo 2023, il protocollo ha offerto una taglia di 1 milione di dollari per la cattura dell’hacker, che alla fine ha negoziato con Euler e ha restituito la maggior parte dei fondi rubati.

Per quanto riguarda l’incidente di zkLend, l’hacker ha tempo fino alle 00:00 UTC del 14 febbraio per rispondere, dopodiché il progetto ha promesso di portare la questione alle forze dell’ordine e di intensificare gli sforzi per rintracciarlo.

Il secondo exploit DeFi di questa settimana

Lo sfruttamento di oggi segna il secondo attacco importante nello spazio DeFi questa settimana. Solo un giorno prima, Four.Meme, un deployer di meme coin basato sulla BNB Chain, era stato sfruttato, portando il protocollo a sospendere il lancio di pool di liquidità su PancakeSwap.

Tuttavia, le perdite dovute all’attacco sono state molto meno gravi: le prime stime parlano di circa 200.000 dollari di token BNB sottratti.

Come riportato in precedenza da Invezz, gli attacchi informatici alle criptovalute sono aumentati di oltre nove volte a gennaio 2025 rispetto al mese precedente. Gli attori malintenzionati hanno rubato oltre 73 milioni di dollari, anche se il numero riflette un calo del 44% rispetto a gennaio 2023.

La BNB chain è stata la catena più colpita, con 10 attacchi segnalati, seguita da Ethereum.