SlowMist identifiziert SafeMath-Bibliothek im Marktvertrag als Hauptursache für zkLends 9.5-Millionen-Dollar-Exploit

Blockchain Sicherheitsfirma slowmist hat bekannt gegeben, dass sein Sicherheitsteam eine kritische Schwachstelle im Kern des jüngsten Angriffs auf zkLend , ein Layer-2-Geldmarktprotokoll, das auf Starknet basiert. Das Unternehmen führt das Problem auf die Implementierung der SafeMath-Bibliothek im Marktvertrag zurück.

Laut SlowMist ergibt sich die Schwachstelle aus der Art und Weise, wie Divisionsberechnungen durchgeführt werden. Der Vertrag führt direkte Divisionsoperationen durch, was zu einer Rundungsschwachstelle bei der Bestimmung der genauen Menge an zTokens führt, die bei der Auszahlung verbrannt werden müssen. Dieser Fehler bietet Angreifern die Möglichkeit, die Diskrepanz auszunutzen und sich unbefugte Vorteile zu verschaffen.

Als Reaktion auf die Ergebnisse hat SlowMist den zkLend-Benutzern geraten, hinsichtlich der Sicherheit ihrer Vermögenswerte wachsam zu bleiben. Das Unternehmen empfiehlt, vorübergehend keine einlagenbezogenen Transaktionen auf der Plattform durchzuführen, um das Risiko potenzieller finanzieller Verluste zu verringern.

zkLend wurde heute Opfer eines Angriffs im Wert von 9.5 Millionen US-Dollar im Starknet-Netzwerk. Als Reaktion darauf wurden die Auszahlungen über das Protokoll ausgesetzt und zkLend nahm Kontakt mit dem Hacker auf, bot ihm eine „White Hat“-Belohnung in Höhe von 10 % der gestohlenen Gelder an und forderte die Rückgabe der restlichen 90 %, was 3,300 ETH entspricht, also etwa 8.4 Millionen US-Dollar.

In einer auf der Social-Media-Plattform X geteilten Erklärung sagte zkLend: „Nach Erhalt der Überweisung erklären wir uns damit einverstanden, Sie von jeglicher Haftung in Bezug auf den Angriff freizustellen. Wir arbeiten derzeit mit Sicherheitsfirmen und Strafverfolgungsbehörden zusammen. Wenn wir bis 00:00 UTC, 14. Februar 2025, nichts von Ihnen hören, werden wir die nächsten Schritte einleiten, um Sie aufzuspüren und strafrechtlich zu verfolgen.“

Die Echtzeit-Sicherheitswarnplattform Cyvers Alerts berichtete, dass die gestohlenen Gelder über Ethereum weitergeleitet und über das auf Datenschutz ausgerichtete Protokoll Railgun gewaschen wurden.

Was ist zkLend?

zkLend zielt darauf ab, eine benutzerfreundliche, sichere und effiziente Geldmarktplattform bereitzustellen, die auf die Liquiditätsbedürfnisse der Benutzer zugeschnitten ist. Das Protokoll ist ein erlaubnisfreier Kreditmarkt, der in erster Linie für Privatkunden konzipiert ist und es ihnen ermöglicht, digitale Vermögenswerte jederzeit direkt über ihre Geldbörsen einzuzahlen und auszuleihen. Einleger können Renditen erzielen, die auf den von Kreditnehmern gezahlten Zinsen basieren, die die eingezahlten Vermögenswerte nutzen. Darüber hinaus können Benutzer ihre eingezahlten Vermögenswerte als Sicherheit nutzen, um andere digitale Vermögenswerte auszuleihen.

Das Projekt sammelte in einer Seed-Finanzierungsrunde im Jahr 5 2022 Millionen US-Dollar ein, wobei Delphi Digital die Investition leitete und sich auch Three Arrows Capital und StarkWare beteiligten.