În urma unei spargeri, împrumutătorul de bani descentralizat zkLend a suferit o breșă în care actorii de amenințare au exploatat o defecțiune a contractului inteligent pentru a fura 3,600 Ethereum, în valoare de 9.5 milioane dolari la momentul respectiv.
zkLend este un protocol de piață monetară descentralizat construit pe Starknet, o soluție de scalare de tip Layer 2 pentru Ethereum. Acesta permite utilizatorilor să depună, împrumute și să împrumute diverse active.
Atacul a avut loc ieri după-amiază, cu zkLend avertizând pe X că sunt victimele unui incident de securitate cibernetică.
Potrivit canalului Telegram EthSecurity, actorii de amenințare au exploatat o eroare de rotunjire în funcția mint() a contractului inteligent zkLend.
„Atacatorul a manipulat „lending_accumulator” să fie foarte mare la 4.069297906051644020, apoi a profitat de eroarea de rotunjire în timpul funcțiilor ztoken mint() și withdraw() pentru a depune repetat 4.069297906051644021 wstETH obținând 2 wei, apoi a retras 4.069297906051644020*1.5 -1 = 6.103946859077466029 wstETH pentru a cheltui doar 1 wei,” se arată într-o postare pe canalul EthSecurity.
Starkware, care a dezvoltat rețeaua Starknet, a confirmat că vulnerabilitatea nu făcea parte din tehnologia Starknet, ci mai degrabă era o eroare specifică aplicației.
Potrivit Cyvers, actorii de amenințare au încercat să spele criptomoneda prin protocolul de confidențialitate RailGun, dar au fost blocați din cauza politicilor protocolului.
zkLend a emis acum un mesaj către hacker afirmând că, dacă aceștia returnează 90% din Ethereum-ul furat, adică 3,300 ETH, pot păstra restul de 10% și nu vor fi responsabili pentru atac.
„Înțelegem că ești responsabil pentru atacul de azi asupra zkLend. Poți păstra 10% din fonduri ca recompensă whitehat și să returnezi restul de 90%, sau 3,300 ETH, la această adresă Ethereum: 0xCf31e1b97790afD681723fA1398c5eAd9f69B98C,” se arată într-un mesaj pe blockchain către hacker.
„În momentul în care primim transferul, suntem de acord să nu mai avem nicio responsabilitate referitor la atac.”
„Colaborăm cu firme de securitate și autorități la această etapă. Dacă nu auzim de la tine până la 00:00 UTC, 14 februarie 2025, vom trece la următorii pași pentru a te urmări și a te acuza.”
Hoții de criptomonede au până pe 13 februarie, la 7:00 PM EST, să returneze 90% din fondurile furate, în caz contrar zkLend va urma acțiuni legale.
Nu a fost nicio reacție din partea hacker-ului, ceea ce este în mod obișnuit cazul în aceste situații. Niciun actor de amenințare nu a fost atribuit atacului.
Canadian acuzat de furtul a 65 milioane dolari folosind exploatarea criptomonedelor DeFI
FBI leagă hackerii nord-coreeni de un jaf de criptomonede de 308 milioane dolari
Exploatarea firewall-ului SonicWall permite hackerilor să preia sesiunile VPN, instalațiile acum
Aplicații care fură criptomonede găsite în App Store-ul Apple pentru prima dată
Hackerul recunoaște vinovăția în atacul de schimbare a cartelei SIM asupra contului SEC X din SUA
Leave a Reply