Giao thức cho vay phi tập trung zkLend đã bị tấn công hacker vào ngày 12 tháng 2, với thiệt hại lên tới 9 triệu USD. Giao thức này đã đề nghị thưởng 10% cho kẻ tấn công, với điều kiện nếu hoàn trả lại số tiền còn lại trước ngày 14 tháng 2, họ sẽ được miễn trách nhiệm pháp lý.
Mục lục
TogglezkLend bị tấn công 9 triệu USD, tiền của kẻ tấn công được rửa trắng qua Railgun
Theo báo cáo của đội an ninh blockchain SlowMist, dự án cho vay trên chuỗi Starknet là zkLend đã bị tấn công, dẫn đến mất 9 triệu USD.
🚨SlowMist Security Alert🚨
The lending project @zkLend on the Starknet chain was attacked today, with more than $9 million in assets lost!
The SlowMist security team found that the core reason for this attack lies in the safeMath library adopted by the market contract. When… https://t.co/YmvzVXxmiD pic.twitter.com/S3P73E4uxu
— SlowMist (@SlowMist_Team) February 12, 2025
Lý do chính của cuộc tấn công này là do hợp đồng thị trường sử dụng thư viện safeMath. Khi thực hiện phép tính chia, việc sử dụng phép chia trực tiếp đã dẫn đến lỗ hổng làm tròn xuống trong tính toán số lượng zToken cần phải đốt khi thực hiện giao dịch rút tiền. Kẻ tấn công có thể đã lợi dụng lỗ hổng này để bất hợp pháp thu lợi.
Đội ngũ đã thông báo: "Vui lòng theo dõi chặt chẽ tình trạng tài sản của bạn trên zkLend và tạm thời ngừng các hoạt động gửi tiền liên quan đến zkLend để tránh bị thiệt hại."
Sau đó, công ty an ninh khác là Cyvers cũng chỉ ra:
Kẻ tấn công đã chuyển số tiền đánh cắp sang Ethereum blockchain và sử dụng dịch vụ ẩn danh Railgun để rửa tiền. Tuy nhiên, do chính sách của giao thức Railgun, số tiền này cuối cùng đã được hoàn trả lại về địa chỉ ban đầu.
(Railgun là gì? Privacy Pools: Phương pháp mới không cần chứng minh vô tội)
zkLend đề nghị 10% thưởng cho kẻ tấn công
Sau khi vụ tấn công xảy ra, zkLend đã nhanh chóng thông báo và đề nghị thương lượng với kẻ tấn công, cung cấp 10% thưởng nếu hoàn trả lại số tiền còn lại trước ngày 14 tháng 2, đồng thời miễn trách nhiệm pháp lý:
Chúng tôi biết rằng bạn là kẻ tấn công zkLend hôm nay. Bạn có thể giữ lại 10% số tiền như phần thưởng cho một "hacker mũ trắng", và hoàn trả lại 90% còn lại, tức khoảng 3.300 ETH.
Đồng thời, zkLend cũng cho biết họ đã hợp tác với các công ty an ninh và cơ quan thực thi pháp luật, và nếu không nhận được phản hồi trước ngày 14, họ sẽ tiến hành các biện pháp tiếp theo để truy tìm và khởi kiện kẻ tấn công.
Người dùng bị thiệt hại phẫn nộ khi đội ngũ để tiền chảy ra ngoài
Về vấn đề này, người dùng bị thiệt hại 0xYANGZAI đã bày tỏ sự bất bình với sự bất động của StarkNet chính thức, nghi ngờ có thể có sự tham gia của nội bộ:
12 giờ sau vụ trộm, họ vẫn để mặc 1.800 ETH chảy ra khỏi cầu nối xuyên chuỗi L2 và L1, khiến người ta không khỏi nghi ngờ đây là hành vi tham ô.
Anh ta cho biết sẽ đến Hong Kong trình báo cảnh sát trong tuần này và kêu gọi những người bị thiệt hại khác cùng hành động, đồng thời đề nghị điều tra các DEX và CEX từng tương tác với địa chỉ của kẻ tấn công.
Các vụ tấn công của hacker trong lĩnh vực tiền mã hóa ngày càng phổ biến
Theo báo cáo an ninh năm 2024 của Chainalysis, số tiền bị đánh cắp đã tăng khoảng 21% so với cùng kỳ năm trước, đạt 2,2 tỷ USD. Mặc dù phần lớn số tiền bị đánh cắp đến từ các dịch vụ tài chính phi tập trung (DeFi), nhưng các mục tiêu chính trong quý 2 và quý 3 vẫn là các dịch vụ tập trung.
Năm 2024, rò rỉ private key là nguyên nhân chính dẫn đến việc bị đánh cắp tiền mã hóa (43,8%), phần lớn liên quan đến các hacker Triều Tiên hoành hành, liên tục xâm nhập nhiều công ty tiền mật mã và phá hoại mạng lưới của họ.
Được biết, số tiền các dự án tiền mã hóa bị hacker Triều Tiên đánh cắp đã lập kỷ lục mới, lên tới 1,34 tỷ USD, chiếm 61% tổng số tiền bị đánh cắp trong cả năm.
Với vấn đề an ninh tiền mã hóa ngày càng nghiêm trọng, ý thức tự bảo vệ an ninh là vô cùng quan trọng.
Cảnh báo rủi ro
Đầu tư tiền mã hóa có rủi ro rất cao, giá có thể biến động mạnh và bạn có thể mất toàn bộ số vốn đầu tư. Vui lòng cân nhắc kỹ lưỡng các rủi ro.
