zklend 官方承认遭到黑客攻击，威胁者利用智能合约中 mint() 函数的舍入错误漏洞盗取了 3600 个以太币，价值约 950 万美元。

zkLend 是一个建立在 Starknet 上的去中心化货币市场协议，Starknet 是以太坊的二层扩容解决方案，它使用户能够存入、借入和贷出各种资产。据了解，攻击者将“lending_accumulator”操纵为非常大的数值 4.069297906051644020，然后利用 ztoken mint() 和 withdraw() 过程中的舍入误差，反复存入 4.069297906051644021 wstETH，每次获得 2 个 wei，再取出 4.069297906051644020×1.5 - 1 = 6.103946859077466029 wstETH，每次仅花费 1 个 wei。

开发 Starknet 网络的 Starkware 确认，该漏洞并非 Starknet 技术本身的问题，而是某个应用程序特有的错误。

据 Cyvers 称，威胁者试图通过 RailGun 隐私协议清洗加密货币，但因协议政策而被阻止。

zkLend现已向黑客发出消息，称如果他们归还被盗以太坊的90%资金到以太坊地址：0xCf31e1b97790afD681723fA1398c5eAd9f69B98C，即3300 ETH后，他们可以保留另外10%的资金作为白帽赏金，并且不会对攻击承担任何责任。

目前zkLend 正在与安全公司和执法部门合作。如果在2025年2月14日前没有收到威胁分子的消息，该公司将继续采取下一步措施进行跟踪和起诉。目前，黑客还没有任何回应，这属网络攻击中的常见情况。

参考及来源：https://www.bleepingcomputer.com/news/cryptocurrency/zklend-loses-95m-in-crypto-heist-asks-hacker-to-return-90-percent/