Table of Contents
zkLend 遭駭 900 萬美元,駭客資金經 Railgun 洗白
根據區塊鏈安全團隊慢霧 (SlowMist) 的報告,Starknet 鏈上的借貸專案 zkLend 遭到駭客攻擊,導致 900 萬美元資金損失。
此次攻擊的核心原因在於市場合約採用的 safeMath 程式。在執行除法計算時使用直接除法 (direct division),導致計算提現操作中需要銷毀的 zToken 實際數量時,出現向下取整的漏洞。攻擊者可能利用該漏洞來非法獲取利益。
團隊表示,「請用戶密切關注自己在 zkLend 上的資產狀態,並 暫停與 zkLend 相關的存款等操作,以避免可能的損失。」
後續,另一間資安公司 Cyvers 也指出:
攻擊者將被盜資金轉移至以太坊區塊鏈,並透過隱私服務 Railgun 進行洗錢。然而,由於 Railgun 的協議政策,這些資金最終被退回到原先的地址。
(什麼是 RAILGUN?Privacy Pools:無辜證明的新方法)
zkLend 向駭客提出 10% 獎金交涉
在攻擊發生後,zkLend 隨即發布公告,與駭客以 10% 的獎金進行談判,宣稱若在 2 月 14 日前歸還剩餘資金,將免除其一切法律責任:
我們知道你是今日攻擊 zkLend 的幕後黑手,你可以保留 10% 的資金作為白帽駭客獎勵,並歸還剩下的 90%,也就是約 3,300 枚 ETH。
同時,zkLend 更表示,他們已與安全公司及執法機構合作,若在 14 日前沒有收到回應,將採取進一步行動追查並起訴攻擊者。
受災用戶怒批團隊放任資金流出
對此,受害用戶 0xYANGZAI 於社群媒體 X 上表達了對 StarkNet 官方不作為的不滿,質疑是否存在內部人員參與:
在被盗 12 小時後,他們仍然放任 L2 與 L1 跨鏈橋的 1,800 枚 ETH 的轉出,不禁讓人懷疑是不是監守自盜。
他表示,預計本週前往香港報警,並號召其他受害者一起行動,同時呼籲針對駭客地址曾互動過的 DEX 及 CEX 進行調查。
加密領域駭客攻擊層出不窮
回顧 Chainalysis 的 2024 資安事件報告,被盜資金較去年同期成長了約 21%,達到 22 億美元。儘管被盜資金中主要來自去中心化金融 (DeFi) 服務,但第二季及第三季最主要的被盜目標是仍中心化服務。
2024 年,私鑰洩漏是最主要的加密貨幣被盜原因 (43.8%),其中似乎大部分都與北韓駭客的猖獗有關,他們陸續滲透許多加密公司,並破壞他們的網路。
據悉,北韓駭客從各加密專案竊取的金額又創下了歷史高點,來到 13.4 億美元,佔全年被盜總金額的 61%。
(ZachXBT 揭露北韓駭客犯罪網路,佯裝開發者滲透團隊再捲款:月收 50 萬美元)
隨著加密貨幣安全問題日益嚴重,自主資安意識的防範更顯得格外重要。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
