SlowMist identyfikuje bibliotekę SafeMath w kontrakcie rynkowym jako główną przyczynę 9.5 mln USD exploita zkLend
W skrócie
Firma SlowMist zidentyfikowała krytyczną lukę w zabezpieczeniach, będącą przyczyną niedawnego ataku zkLend, przypisując problem implementacji biblioteki SafeMath w kontrakcie rynkowym.
Firma zabezpieczająca Blockchain Powolna Mgła ujawniła, że jej zespół ds. bezpieczeństwa zidentyfikował krytyczną lukę w zabezpieczeniach, będącą przyczyną niedawnego ataku na zkLend, protokół rynku pieniężnego warstwy 2 zbudowany na Starknet. Firma przypisuje problem implementacji biblioteki safeMath w kontrakcie rynkowym.
Według SlowMist, podatność wynika ze sposobu obsługi obliczeń podziału. Kontrakt wykonuje operacje bezpośredniego podziału, co prowadzi do podatności na zaokrąglanie w dół podczas określania dokładnej liczby zTokenów, które muszą zostać spalone podczas operacji wypłaty. Ta wada stwarza atakującym okazję do wykorzystania rozbieżności i uzyskania nieautoryzowanych korzyści.
W odpowiedzi na ustalenia SlowMist zalecił użytkownikom zkLend zachowanie czujności w kwestii bezpieczeństwa swoich aktywów. Firma zaleca tymczasowe powstrzymanie się od przeprowadzania transakcji związanych z depozytami na platformie, aby zmniejszyć ryzyko potencjalnych strat finansowych.
zkLend doświadczył dziś 9.5 mln USD exploita w sieci Starknet. W odpowiedzi wypłaty z protokołu zostały wstrzymane, a zkLend skontaktował się z hakerem, oferując mu nagrodę „white hat” w wysokości 10% skradzionych środków, jednocześnie żądając zwrotu pozostałych 90%, co stanowi 3,300 ETH, około 8.4 mln USD.
W oświadczeniu udostępnionym na platformie mediów społecznościowych X, zkLend powiedział: „Po otrzymaniu przelewu zgadzamy się zwolnić Cię z wszelkiej odpowiedzialności związanej z atakiem. Na tym etapie współpracujemy z firmami ochroniarskimi i organami ścigania. Jeśli nie otrzymamy od Ciebie odpowiedzi do godziny 00:00 UTC, 14 lutego 2025 r., podejmiemy kolejne kroki w celu namierzenia Cię i ścigania”.
Platforma alarmów bezpieczeństwa w czasie rzeczywistym Cyvers Alerts poinformowała, że skradzione środki zostały przelane na Ethereum i wyprane za pośrednictwem protokołu Railgun, który koncentruje się na ochronie prywatności.
Czym jest zkLend?
zkLend ma na celu zapewnienie przyjaznej dla użytkownika, bezpiecznej i wydajnej platformy rynku pieniężnego dostosowanej do potrzeb płynnościowych użytkowników. Protokół jest rynkiem pożyczkowym bez zezwoleń, zaprojektowanym głównie dla użytkowników detalicznych, umożliwiającym im deponowanie i pożyczanie aktywów cyfrowych bezpośrednio za pośrednictwem ich portfeli w dowolnym momencie. Deponenci mogą zarabiać na dochodach w oparciu o odsetki płacone przez pożyczkobiorców, którzy wykorzystują zdeponowane aktywa. Ponadto użytkownicy mogą wykorzystywać swoje zdeponowane aktywa jako zabezpieczenie do pożyczania innych aktywów cyfrowych.
Projekt pozyskał 5 milionów dolarów w rundzie finansowania zalążkowego w 2022 r., a inwestycję poprowadziła firma Delphi Digital, a udział wzięły także Three Arrows Capital i StarkWare.
Odpowiedzialność
Zgodnie z Zaufaj wytycznym projektu, należy pamiętać, że informacje zawarte na tej stronie nie mają na celu i nie powinny być interpretowane jako porady prawne, podatkowe, inwestycyjne, finansowe lub jakiekolwiek inne formy porad. Ważne jest, aby inwestować tylko tyle, na utratę czego możesz sobie pozwolić, a w przypadku jakichkolwiek wątpliwości zasięgnąć niezależnej porady finansowej. Aby uzyskać więcej informacji, sugerujemy zapoznać się z warunkami oraz stronami pomocy i wsparcia udostępnianymi przez wydawcę lub reklamodawcę. MetaversePost zobowiązuje się do sporządzania dokładnych i bezstronnych raportów, jednakże warunki rynkowe mogą ulec zmianie bez powiadomienia.
O autorze
Alisa, oddana dziennikarka w MPost, specjalizuje się w kryptowalutach, dowodach wiedzy zerowej, inwestycjach i ekspansywnej dziedzinie Web3. Ze szczególnym uwzględnieniem pojawiających się trendów i technologii zapewnia wszechstronne informacje, aby informować czytelników i angażować ich w stale zmieniający się krajobraz finansów cyfrowych.
Więcej artykułów
Alisa, oddana dziennikarka w MPost, specjalizuje się w kryptowalutach, dowodach wiedzy zerowej, inwestycjach i ekspansywnej dziedzinie Web3. Ze szczególnym uwzględnieniem pojawiających się trendów i technologii zapewnia wszechstronne informacje, aby informować czytelników i angażować ich w stale zmieniający się krajobraz finansów cyfrowych.
