SlowMist определяет библиотеку SafeMath в рыночном контракте как основную причину кражи zkLend на сумму 9.5 млн долларов

Фирма по безопасности блокчейн SlowMist сообщила, что ее команда по безопасности выявила критическую уязвимость, лежащую в основе недавней атаки на зкленд , протокол денежного рынка уровня 2, построенный на Starknet. Фирма связывает проблему с реализацией библиотеки safeMath в рыночном контракте.

По данным SlowMist, уязвимость возникает из-за способа обработки расчетов деления. Контракт выполняет операции прямого деления, что приводит к уязвимости округления в меньшую сторону при определении точного количества zToken, которое должно быть сожжено во время операции вывода. Этот недостаток создает возможность для злоумышленников использовать несоответствие и получать несанкционированные выгоды.

В ответ на результаты SlowMist посоветовал пользователям zkLend сохранять бдительность в отношении безопасности своих активов. Фирма рекомендует временно воздержаться от проведения депозитных транзакций на платформе, чтобы снизить риск потенциальных финансовых потерь.

Ранее сегодня zkLend столкнулся с эксплойтом на $9.5 млн в сети Starknet. В ответ на это снятие средств по протоколу было приостановлено, и zkLend связался с хакером, предложив ему «белое» вознаграждение в размере 10% от украденных средств, одновременно попросив вернуть оставшиеся 90%, что составляет 3,300 ETH, примерно $8.4 млн.

В заявлении, опубликованном на платформе социальных сетей X, zkLend сказал: «После получения перевода мы соглашаемся освободить вас от любой ответственности в отношении атаки. На данном этапе мы работаем с охранными фирмами и правоохранительными органами. Если мы не получим от вас ответа до 00:00 UTC 14 февраля 2025 года, мы приступим к следующим шагам по отслеживанию и преследованию вас».

Платформа оповещений безопасности в режиме реального времени Cyvers Alerts сообщила, что украденные средства были переведены на Ethereum и отмыты через протокол Railgun, ориентированный на конфиденциальность.

Что такое zkLend?

зкленд Целью является предоставление удобной, безопасной и эффективной платформы денежного рынка, адаптированной для удовлетворения потребностей пользователей в ликвидности. Протокол представляет собой рынок кредитования без разрешения, разработанный в первую очередь для розничных пользователей, позволяющий им вносить и брать в долг цифровые активы напрямую через свои кошельки в любое время. Вкладчики могут получать доход на основе процентов, выплачиваемых заемщиками, которые используют депонированные активы. Кроме того, пользователи могут использовать свои депонированные активы в качестве обеспечения для заимствования других цифровых активов.

Проект привлек 5 миллионов долларов в ходе начального раунда финансирования в 2022 году. Лидером инвестиций выступила компания Delphi Digital, также в проекте приняли участие Three Arrows Capital и StarkWare.