zklend 官方承認(rèn)遭到黑客攻擊，威脅者利用智能合約中 mint() 函數(shù)的舍入錯(cuò)誤漏洞盜取了 3600 個(gè)以太幣，價(jià)值約 950 萬(wàn)美元。

zkLend 是一個(gè)建立在 Starknet 上的去中心化貨幣市場(chǎng)協(xié)議，Starknet 是以太坊的二層擴(kuò)容解決方案，它使用戶(hù)能夠存入、借入和貸出各種資產(chǎn)。據(jù)了解，攻擊者將“l(fā)ending_accumulator”操縱為非常大的數(shù)值 4.069297906051644020，然后利用 ztoken mint() 和 withdraw() 過(guò)程中的舍入誤差，反復(fù)存入 4.069297906051644021 wstETH，每次獲得 2 個(gè) wei，再取出 4.069297906051644020×1.5 - 1 = 6.103946859077466029 wstETH，每次僅花費(fèi) 1 個(gè) wei。

開(kāi)發(fā) Starknet 網(wǎng)絡(luò)的 Starkware 確認(rèn)，該漏洞并非 Starknet 技術(shù)本身的問(wèn)題，而是某個(gè)應(yīng)用程序特有的錯(cuò)誤。

據(jù) Cyvers 稱(chēng)，威脅者試圖通過(guò) RailGun 隱私協(xié)議清洗加密貨幣，但因協(xié)議政策而被阻止。

zkLend現(xiàn)已向黑客發(fā)出消息，稱(chēng)如果他們歸還被盜以太坊的90%資金到以太坊地址：0xCf31e1b97790afD681723fA1398c5eAd9f69B98C，即3300 ETH后，他們可以保留另外10%的資金作為白帽賞金，并且不會(huì)對(duì)攻擊承擔(dān)任何責(zé)任。

目前zkLend 正在與安全公司和執(zhí)法部門(mén)合作。如果在2025年2月14日前沒(méi)有收到威脅分子的消息，該公司將繼續(xù)采取下一步措施進(jìn)行跟蹤和起訴。目前，黑客還沒(méi)有任何回應(yīng)，這屬網(wǎng)絡(luò)攻擊中的常見(jiàn)情況。

參考及來(lái)源：https://www.bleepingcomputer.com/news/cryptocurrency/zklend-loses-95m-in-crypto-heist-asks-hacker-to-return-90-percent/