Crypto-ограбление на $9,5 миллиона: zkLend просит хакера вернуть 90% украденных средств

DeFi-платформа zkLend стала жертвой масштабной кибератаки, в результате которой злоумышленники украли 3 600 Ethereum, что на момент взлома составляло $9,5 миллиона. zkLend, децентрализованный рынок кредитования на основе Starknet, заявил, что хакеры использовали уязвимость в смарт-контракте платформы, чтобы осуществить манипуляции с функцией mint(). Атака была зафиксирована 12 февраля, и компания немедленно сообщила об инциденте.

Как сообщает канал EthSecurity в Telegram, хакеры воспользовались ошибкой округления в функции mint(), что позволило им многократно манипулировать «lending_accumulator», а затем вывести значительные суммы активов с минимальными затратами. Применив эту уязвимость, злоумышленники смогли вывести 6,1 ETH при депозите в 4.069 wstETH.

Компания Starkware, разработчик технологии Starknet, уточнила, что уязвимость не была связана с самим протоколом Starknet, а стала результатом ошибки, присущей конкретному приложению zkLend. Более того, согласно данным Cyvers, хакеры пытались отмыть средства через протокол RailGun, но их действия были заблокированы за нарушение политики протокола.

После инцидента zkLend выпустил официальное сообщение для хакера, предлагая ему вернуть 90% украденных средств — 3 300 ETH. Взамен злоумышленник сможет оставить себе 10% от украденного и не понесет ответственности за атаку. «Мы понимаем, что вы несете ответственность за сегодняшнюю атаку на zkLend. Вы можете оставить себе 10% средств в качестве вознаграждения whitehat и вернуть остальные 90% на этот Ethereum-адрес», — говорится в сообщении.

Платформа добавила, что если средства не будут возвращены до полуночи 14 февраля 2025 года по времени UTC, они примут дальнейшие меры, включая сотрудничество с правоохранительными органами и усиленные попытки отследить преступников. На данный момент хакер не ответил на предложение, что является довольно стандартной ситуацией в подобных делах. Ответственные за атаку личности пока не идентифицированы.