ZkLend遭駭損失近千萬美元，開出10%獎金盼駭客歸還資金

去中心化借貸協議 zkLend 於 2 月 12 日遭遇駭客攻擊，損失高達 900 萬美元。該協議向攻擊者提供 10% 懸賞，若在 2 月 14 日前歸還剩餘資金，將免除其法律責任。

zkLend 遭駭 900 萬美元，駭客資金經 Railgun 洗白

根據區塊鏈安全團隊慢霧 (SlowMist) 的報告，Starknet 鏈上的借貸專案 zkLend 遭到駭客攻擊，導致 900 萬美元資金損失。

SlowMist Security Alert

The lending project @zkLend on the Starknet chain was attacked today, with more than $9 million in assets lost!

The SlowMist security team found that the core reason for this attack lies in the safeMath library adopted by the market contract. When… pic.twitter.com/S3P73E4uxu

— SlowMist (@SlowMist_Team) February 12, 2025

此次攻擊的核心原因在於市場合約採用的 safeMath 程式。在執行除法計算時使用直接除法 (direct division)，導致計算提現操作中需要銷毀的 zToken 實際數量時，出現向下取整的漏洞。攻擊者可能利用該漏洞來非法獲取利益。

團隊表示，「請用戶密切關注自己在 zkLend 上的資產狀態，並 暫停與 zkLend 相關的存款等操作，以避免可能的損失。」

後續，另一間資安公司 Cyvers 也指出：

攻擊者將被盜資金轉移至以太坊區塊鏈，並透過隱私服務 Railgun 進行洗錢。然而，由於 Railgun 的協議政策，這些資金最終被退回到原先的地址。

(什麼是 RAILGUN？Privacy Pools：無辜證明的新方法)

zkLend 向駭客提出 10% 獎金交涉

在攻擊發生後，zkLend 隨即發布公告，與駭客以 10% 的獎金進行談判，宣稱若在 2 月 14 日前歸還剩餘資金，將免除其一切法律責任：

我們知道你是今日攻擊 zkLend 的幕後黑手，你可以保留 10% 的資金作為白帽駭客獎勵，並歸還剩下的 90%，也就是約 3,300 枚 ETH。

同時，zkLend 更表示，他們已與安全公司及執法機構合作，若在 14 日前沒有收到回應，將採取進一步行動追查並起訴攻擊者。

受災用戶怒批團隊放任資金流出

對此，受害用戶 0xYANGZAI 於社群媒體 X 上表達了對 StarkNet 官方不作為的不滿，質疑是否存在內部人員參與：

在被盗 12 小時後，他們仍然放任 L2 與 L1 跨鏈橋的 1,800 枚 ETH 的轉出，不禁讓人懷疑是不是監守自盜。

他表示，預計本週前往香港報警，並號召其他受害者一起行動，同時呼籲針對駭客地址曾互動過的 DEX 及 CEX 進行調查。

加密領域駭客攻擊層出不窮

回顧 Chainalysis 的 2024 資安事件報告，被盜資金較去年同期成長了約 21%，達到 22 億美元。儘管被盜資金中主要來自去中心化金融 (DeFi) 服務，但第二季及第三季最主要的被盜目標是仍中心化服務。

2024 年，私鑰洩漏是最主要的加密貨幣被盜原因 (43.8%)，其中似乎大部分都與北韓駭客的猖獗有關，他們陸續滲透許多加密公司，並破壞他們的網路。

據悉，北韓駭客從各加密專案竊取的金額又創下了歷史高點，來到 13.4 億美元，佔全年被盜總金額的 61%。

(ZachXBT 揭露北韓駭客犯罪網路，佯裝開發者滲透團隊再捲款：月收 50 萬美元)

隨著加密貨幣安全問題日益嚴重，自主資安意識的防範更顯得格外重要。

這篇文章 zkLend遭駭損失近千萬美元，開出10%獎金盼駭客歸還資金 最早出現於 鏈新聞 ABMedia。