Starknet-baserte zkLend lider under utnyttelse, over 9 millioner dollar tappet

Desentralisert utlånsprotokoll zkLend tapte over 9 millioner dollar etter at en hacker utnyttet protokollens smarte kontrakter.

I følge en kunngjøring 12. februar flagget den Starknet-baserte protokollen sikkerhetshendelsen tidligere i dag, og la merke til at det interne teamet undersøkte saken.

I mellomtiden har zkLend suspendert alle uttak og startet en etterforskning i samarbeid med flere sikkerhetsteam, inkludert Starknet Foundation, StarkWare, Binance Security Team og Hypernative Labs, sammen med rettshåndhevelse.

En post mortem av hvordan utnyttelsen skjedde er ennå ikke publisert.

Innledende estimater fra sikkerhetsfirmaet Cyvers anslår tap til $4,9 millioner, men i en påfølgende oppdatering sa firmaet at det totale tapet oversteg $9 millioner.

Angriperen skal ha koblet de stjålne eiendelene til Ethereum og forsøkt å hvitvaske dem gjennom den personvernfokuserte blandingstjenesten Railgun.

På grunn av Railguns interne retningslinjer ble imidlertid en del av midlene returnert til deres opprinnelige adresse.

Gjenopprettingsarbeid

I tillegg til de pågående undersøkelsene, har zkLend tilbudt hackeren en whitehat-premie.

Prosjektet sendte en kjedemelding til angriperen, og foreslo at de skulle beholde 10 % av de stjålne eiendelene uten rettslige skritt hvis de returnerer de resterende 90 %.

Med dette håper zkLend å gjenvinne 3300 ETH eller omtrent $8,6 millioner av de tapte midlene til gjeldende markedspriser.

Slike dusører tilbys ofte av ofre for utnyttelser i DeFi-sektoren og fører i noen få tilfeller til og med til gjenvinning av midler.

For eksempel, etter at Euler Finance ble hacket for $196 millioner i mars 2023, tilbød protokollen en dusør på $1 million på hodet; hackeren forhandlet til slutt med Euler og returnerte det meste av de stjålne midlene.

For zkLend-hendelsen har hackeren frem til klokken 00:00 UTC 14. februar på seg til å svare, hvoretter prosjektet har lovet å eskalere saken til politiet og intensivere innsatsen for å spore dem opp.

Den andre DeFi-utnyttelsen denne uken

Dagens utnyttelse markerer det andre store angrepet i DeFi-området denne uken. Bare en dag før ble BNB-kjedebaserte meme-mynt-utplasserer Four.Meme utnyttet, noe som førte til protokollen som suspenderte lanseringen av likviditetspoolen på PancakeSwap.

Imidlertid var tapene fra angrepet mye mindre alvorlige, med tidlige estimater som hevdet at BNB-tokens verdt omtrent 200 0000 dollar ble tappet.

Som tidligere rapportert av Invezz, hoppet kryptohack over ni ganger i januar 2025 sammenlignet med forrige måned. Over 73 millioner dollar ble stjålet av dårlige skuespillere, selv om tallet reflekterer et fall på 44 % sammenlignet med januar 2023.

BNB-kjeden var den mest målrettede kjeden, etter å ha blitt utsatt for 10 rapporterte angrep, etterfulgt av Ethereum.