zkLend berasaskan Starknet mengalami eksploitasi, lebih $9 juta habis

Protokol pinjaman terdesentralisasi zkLend kerugian lebih $9 juta selepas penggodam mengeksploitasi kontrak pintar protokol itu.

Menurut pengumuman pada 12 Februari, protokol berasaskan Starknet menandakan insiden keselamatan awal hari ini, dengan menyatakan bahawa pasukan dalamannya sedang menyiasat perkara itu.

Dalam pada itu, zkLend telah menggantung semua pengeluaran dan melancarkan siasatan dengan kerjasama berbilang pasukan keselamatan, termasuk Yayasan Starknet, StarkWare, Pasukan Keselamatan Binance dan Hypernative Labs, di samping penguatkuasaan undang-undang.

Bedah siasat tentang bagaimana eksploitasi itu berlaku masih belum diterbitkan.

Anggaran awal daripada firma keselamatan Cyvers meletakkan kerugian pada $4.9 juta, namun dalam kemas kini berikutnya, firma itu berkata jumlah kerugian melebihi $9 juta.

Penyerang dilaporkan menghubungkan aset yang dicuri kepada Ethereum dan cuba untuk mencucinya melalui perkhidmatan pencampuran yang memfokuskan privasi Railgun.

Walau bagaimanapun, disebabkan dasar dalaman Railgun, sebahagian daripada dana telah dikembalikan ke alamat asalnya.

Usaha pemulihan

Selain penyiasatan yang sedang dijalankan, zkLend telah menawarkan penggodam hadiah whitehat.

Projek itu menghantar mesej dalam rantaian kepada penyerang, mencadangkan mereka menyimpan 10% daripada aset yang dicuri tanpa tindakan undang-undang jika mereka memulangkan baki 90%.

Dengan ini, zkLend berharap dapat memulihkan 3,300 ETH atau kira-kira $8.6 juta daripada dana yang hilang pada harga pasaran semasa.

Hadiah sedemikian sering ditawarkan oleh mangsa eksploitasi dalam sektor DeFi dan, dalam beberapa kes, malah membawa kepada pemulihan dana.

Sebagai contoh, selepas Euler Finance digodam untuk $196 juta pada Mac 2023, protokol itu menawarkan hadiah $1 juta di atas kepala mereka; penggodam akhirnya berunding dengan Euler dan memulangkan sebahagian besar dana yang dicuri.

Untuk insiden zkLend, penggodam mempunyai masa sehingga 00:00 UTC pada 14 Februari untuk bertindak balas, selepas itu projek itu berjanji untuk memajukan perkara itu kepada penguatkuasaan undang-undang dan mempergiatkan usaha untuk menjejaki mereka.

Eksploitasi DeFi kedua minggu ini

Eksploitasi hari ini menandakan serangan besar kedua dalam ruang DeFi minggu ini. Hanya sehari sebelum itu, pengagih syiling meme berasaskan rantaian BNB Four.Meme telah dieksploitasi, membawa kepada protokol yang menggantung pelancaran kumpulan kecairan di PancakeSwap.

Walau bagaimanapun, kerugian daripada serangan itu adalah kurang teruk, dengan anggaran awal mendakwa kira-kira $200,0000 token BNB telah habis.

Seperti yang dilaporkan oleh Invezz sebelum ini, penggodaman crypto melonjak lebih sembilan kali pada Januari 2025 berbanding bulan sebelumnya. Lebih $73 juta telah dicuri oleh pelakon jahat, walaupun jumlah itu menunjukkan penurunan sebanyak 44% berbanding Januari 2023.

Rantaian BNB adalah rantaian yang paling disasarkan, setelah mengalami 10 serangan yang dilaporkan, diikuti oleh Ethereum.