去中心化货币借贷平台zkLend在Starknet上遭受安全漏洞攻击，损失高达3600枚以太坊，价值约950万美元。攻击者利用智能合约中的取整错误漏洞，通过操纵lending_accumulator数值并结合ztoken的mint()和withdraw()过程中的取整漏洞，反复存入和提取wstETH，最终窃取资金。Starkware声明该漏洞并非Starknet技术问题，而是特定于应用。目前，zkLend已向黑客发出消息，希望其归还90%的被盗以太坊，并承诺不追究责任，否则将采取法律行动。同时，Cyvers监测到攻击者试图通过RailGun隐私协议洗钱，但被阻止。

🚨zkLend是建立在Starknet上的去中心化货币市场协议，允许用户存入、借入和借出各种资产，但此次攻击事件表明，即使在二层扩展解决方案上，智能合约安全仍然至关重要。

🧮攻击者利用了zkLend智能合约中的取整错误漏洞，通过操纵‘lending_accumulator’数值，并结合ztoken mint() 和 withdraw() 过程中的取整错误，实现了资金窃取。这突显了智能合约审计和形式化验证的重要性。

💰zkLend向黑客发出消息，表示如果对方归还90%的被盗以太坊（即3300枚ETH），他们可以保留剩余的10%，并且不会因此次攻击承担任何责任。如果未在指定时间内收到回复，zkLend将采取法律行动。

🛡️据Cyvers称，攻击者试图通过RailGun隐私协议洗钱，但由于协议政策被阻止。这表明隐私协议在一定程度上可以提高交易的匿名性，但同时也可能被用于非法活动。

HackerNews 编译，转载请注明出处：

去中心化货币借贷平台 zkLend 遭受了一次安全漏洞攻击，攻击者利用智能合约漏洞窃取了 3600 枚以太坊，当时价值 950 万美元。

zkLend 是建立在 Starknet 上的去中心化货币市场协议，而 Starknet 是以太坊的第二层扩展解决方案。该平台允许用户存入、借入和借出各种资产。

此次攻击发生在昨天下午，zkLend 在 X 平台上警告称其遭受了一起网络安全事件。

据 EthSecurity Telegram 频道消息，攻击者利用了 zkLend 智能合约中的取整错误漏洞。

该频道的一篇帖子写道：“攻击者将‘lending_accumulator’操纵为一个非常大的数值 4.069297906051644020，然后利用 ztoken mint() 和 withdraw() 过程中的取整错误，反复存入 4.069297906051644021 wstETH，获得 2 wei，随后提取 4.069297906051644020*1.5 – 1 = 6.103946859077466029 wstETH，仅消耗 1 wei。”

Starkware 是 Starknet 网络的开发者，其确认该漏洞并非 Starknet 技术的一部分，而是特定于应用程序的漏洞。

据 Cyvers 称，攻击者试图通过 RailGun 隐私协议洗钱，但由于协议政策被阻止。

zkLend 现已向黑客发出消息，表示如果对方归还 90% 的被盗以太坊（即 3300 枚 ETH），他们可以保留剩余的 10%，并且不会因此次攻击承担任何责任。

zkLend 在链上向黑客发送的消息中写道：“我们知道你对今天 zkLend 的攻击负责。你可以保留 10% 的资金作为白帽赏金，并将剩余的 90%，即 3300 枚 ETH，归还到这个以太坊地址：0xCf31e1b97790afD681723fA1398c5eAd9f69B98C。”

“在收到转账后，我们同意放弃与此次攻击相关的所有责任。”

“我们目前正在与安全公司和执法部门合作。如果我们没有在 2025 年 2 月 14 日世界协调时 00:00 之前收到你的回复，我们将采取下一步行动来追踪和起诉你。”

加密货币窃贼需在 2 月 13 日下午 7:00（美国东部标准时间）之前归还 90% 的被盗资金，之后 zkLend 将采取法律行动。

目前尚未收到黑客的任何回复，这在类似情况下通常是如此。尚未有威胁行为者被认定为此次攻击的幕后黑手。

 

---

消息来源：Bleeping Computer, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文