币圈聚合(268btc.cc):去中心化借贷协议zkLend于2月12日遭遇黑客攻击,损失高达900万美元。该协议向攻击者提供10%悬赏,若在2月14日前归还剩余资金,将免除其法律责任。
zkLend遭黑900万美元,黑客资金经Railgun洗白
根据区块链安全团队慢雾(Slow Mist)的报告,Starknet链上的借贷项目zkLend遭到骇客攻击,导致900万美元资金损失。
此次攻击的核心原因在于市场合约采用的safeMath程序。在执行除法计算时使用直接除法(direct division),导致计算提现操作中需要销毁的zToken实际数量时,出现向下取整的漏洞。攻击者可能利用该漏洞来非法获取利益。
团队表示,「请用户密切关注自己在zkLend上的资产状态,并暂停与zkLend相关的存款等操作,以避免可能的损失。」
后续,另一间资安公司Cyvers也指出:攻击者将被盗资金转移至以太坊区块链,并透过隐私服务Railgun进行洗。然而,由于Railgun的协议政策,这些资金最终被退回到原先的地址。
zkLend向黑客提出10%奖金交涉
在攻击发生后,zkLend随即发布公告,与黑客以10%的奖金进行谈判,宣称若在2月14日前归还剩余资金,将免除其一切法律责任:我们知道你是今日攻击zkLend的幕后黑手,你可以保留10%的资金作为白帽黑客奖励,并归还剩下的90%,也就是约3,300枚ETH。
同时,zkLend更表示,他们已与安全公司及执法机构合作,若在14日前没有收到回应,将采取进一步行动追查并起诉攻击者。
受灾用户怒批团队放任资金流出
对此,受害用户0xYANGZAI于社群媒体X上表达了对StarkNet官方不作为的不满,质疑是否存在内部人员参与:在被盗12小时后,他们仍然放任L2与L1跨链桥的1,800枚ETH的转出,不禁让人怀疑是不是监守自盗。
他表示,预计本周前往香港报警,并号召其他受害者一起行动,同时呼吁针对骇客地址曾互动过的DEX及CEX进行调查。
加密领域黑客攻击层出不穷
回顾Chainalysis的2024资安事件报告,被盗资金较去年同期成长了约21%,达到22亿美元。尽管被盗资金中主要来自去中心化金融(DeFi)服务,但第二季及第三季最主要的被盗目标是仍中心化服务。
2024年,私钥泄漏是最主要的加密货币被盗原因(43.8%),其中似乎大部分都与北韩黑客的猖獗有关,他们陆续渗透许多加密公司,并破坏他们的网络。
据悉,北韩黑客从各加密专案窃取的金额又创下了历史高点,来到13.4亿美元,占全年被盗总金额的61%。
随着加密货币安全问题日益严重,自主资安意识的防范更显得格外重要。
主题测试文章,只做测试使用。发布者:admin,转转请注明出处:http://www.268btc.cc/11703.html
