去中心化货币借贷平台 zkLend 遭受了一次安全漏洞攻击,攻击者利用智能合约漏洞窃取了 3600 枚以太坊,当时价值 950 万美元。
zkLend 是建立在 Starknet 上的去中心化货币市场协议,而 Starknet 是以太坊的第二层扩展解决方案。该平台允许用户存入、借入和借出各种资产。
此次攻击发生在昨天下午,zkLend 在 X 平台上警告称其遭受了一起网络安全事件。
据 EthSecurity Telegram 频道消息,攻击者利用了 zkLend 智能合约中的取整错误漏洞。
该频道的一篇帖子写道:“攻击者将‘lending_accumulator’操纵为一个非常大的数值 4.069297906051644020,然后利用 ztoken mint() 和 withdraw() 过程中的取整错误,反复存入 4.069297906051644021 wstETH,获得 2 wei,随后提取 4.069297906051644020*1.5 – 1 = 6.103946859077466029 wstETH,仅消耗 1 wei。”
Starkware 是 Starknet 网络的开发者,其确认该漏洞并非 Starknet 技术的一部分,而是特定于应用程序的漏洞。
据 Cyvers 称,攻击者试图通过 RailGun 隐私协议洗钱,但由于协议政策被阻止。
zkLend 现已向黑客发出消息,表示如果对方归还 90% 的被盗以太坊(即 3300 枚 ETH),他们可以保留剩余的 10%,并且不会因此次攻击承担任何责任。
zkLend 在链上向黑客发送的消息中写道:“我们知道你对今天 zkLend 的攻击负责。你可以保留 10% 的资金作为白帽赏金,并将剩余的 90%,即 3300 枚 ETH,归还到这个以太坊地址:0xCf31e1b97790afD681723fA1398c5eAd9f69B98C。”
“在收到转账后,我们同意放弃与此次攻击相关的所有责任。”
“我们目前正在与安全公司和执法部门合作。如果我们没有在 2025 年 2 月 14 日世界协调时 00:00 之前收到你的回复,我们将采取下一步行动来追踪和起诉你。”
加密货币窃贼需在 2 月 13 日下午 7:00(美国东部标准时间)之前归还 90% 的被盗资金,之后 zkLend 将采取法律行动。
目前尚未收到黑客的任何回复,这在类似情况下通常是如此。尚未有威胁行为者被认定为此次攻击的幕后黑手。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容