Starknet-baserade zkLend lider av missbruk, över 9 miljoner dollar dränerad

Decentraliserat utlåningsprotokoll zkLend förlorade över 9 miljoner dollar efter att en hackare utnyttjade protokollets smarta kontrakt.

Enligt ett tillkännagivande den 12 februari flaggade det Starknet-baserade protokollet säkerhetsincidenten tidigare idag, och noterade att dess interna team undersökte ärendet.

Under tiden har zkLend avbrutit alla uttag och startat en utredning i samarbete med flera säkerhetsteam, inklusive Starknet Foundation, StarkWare, Binance Security Team och Hypernative Labs, tillsammans med brottsbekämpning.

En obduktion av hur exploateringen gick till ska ännu inte publiceras.

Initiala uppskattningar från säkerhetsföretaget Cyvers satte förluster på 4,9 miljoner dollar, men i en efterföljande uppdatering sa företaget att den totala förlusten översteg 9 miljoner dollar.

Angriparen ska ha överbryggt de stulna tillgångarna till Ethereum och försökt tvätta dem genom den integritetsfokuserade blandningstjänsten Railgun.

Men på grund av Railguns interna policy återfördes en del av medlen till sin ursprungliga adress.

Återhämtningsinsatser

Förutom de pågående utredningarna har zkLend erbjudit hackern en whitehat-premie.

Projektet skickade ett meddelande i kedjan till angriparen och föreslog att de skulle behålla 10 % av de stulna tillgångarna utan några rättsliga åtgärder om de lämnar tillbaka de återstående 90 %.

Med detta hoppas zkLend att återvinna 3 300 ETH eller cirka 8,6 miljoner USD av de förlorade medlen till aktuella marknadspriser.

Sådana belöningar erbjuds ofta av offer för utnyttjande inom DeFi-sektorn och leder i några få fall till och med till återvinning av medel.

Till exempel, efter att Euler Finance hackades för 196 miljoner dollar i mars 2023, erbjöd protokollet en belöning på 1 miljon dollar på deras huvud; hackaren förhandlade så småningom med Euler och returnerade de flesta av de stulna medlen.

För zkLend-incidenten har hackaren fram till 00:00 UTC den 14 februari på sig att svara, varefter projektet har lovat att eskalera ärendet till brottsbekämpande myndigheter och intensifiera ansträngningarna för att spåra dem.

Den andra DeFi-exploateringen denna vecka

Dagens utnyttjande markerar den andra stora attacken inom DeFi-utrymmet den här veckan. Bara en dag innan utnyttjades BNB-kedjebaserade meme-myntdistributören Four.Meme, vilket ledde till att protokollet stoppade lanseringen av likviditetspoolen på PancakeSwap.

Men förlusterna från attacken var mycket mindre allvarliga, med tidiga uppskattningar som hävdade att BNB-tokens till ett värde av cirka 200 0000 USD tappades.

Som tidigare rapporterats av Invezz hoppade kryptohack över nio gånger i januari 2025 jämfört med föregående månad. Över 73 miljoner dollar stals av dåliga skådespelare, även om siffran speglar en minskning med 44 % jämfört med januari 2023.

BNB-kedjan var den mest riktade kedjan, efter att ha drabbats av 10 rapporterade attacker, följt av Ethereum.