SlowMist 將市場合約中的 SafeMath 庫確定為 zkLend 遭受 9.5 萬美元攻擊的核心原因

區塊鏈安全公司 慢霧 揭露其安全團隊發現了近期攻擊的核心中存在一個嚴重漏洞 zk借出 ，一個基於 Starknet 構建的 Layer 2 貨幣市場協議。該公司將該問題歸咎於市場合約中 safeMath 庫的實施。

SlowMist 表示，該漏洞源自於除法計算的處理方式。合約執行直接除法運算，導致在確定提現作業中必須銷毀的 zToken 的精確數量時存在四捨五入漏洞。該缺陷為攻擊者利用差異並獲得未經授權的利益創造了機會。

針對這項發現，SlowMist 建議 zkLend 用戶保持對其資產安全的警惕。該公司建議暫時不要在該平台上進行與存款相關的交易，以降低潛在財務損失的風險。

zkLend 今天早些時候在 Starknet 網路上遭遇了價值 9.5 萬美元的攻擊。作為回應，該協議上的提現已被暫停，並且 zkLend 與黑客取得了聯繫，向他們提供被盜資金 10％ 的“白帽”獎勵，同時要求歸還剩餘的 90％，即 3,300 ETH，約合 8.4 萬美元。

zkLend 在社群媒體平台 X 上分享的聲明中表示，「收到轉帳後，我們同意免除您與此次攻擊有關的任何責任。我們現階段正與保全公司和執法部門合作。如果我們在 00 年 00 月 14 日 UTC 時間 2025:XNUMX 之前沒有收到您的回复，我們將繼續採取下一步措施追踪和起訴您。

即時安全警報平台 Cyvers Alerts 報告稱，被盜資金已轉移到以太坊，並透過以隱私為重點的協議 Railgun 進行清洗。

什麼是 zkLend？

zk借出 旨在提供一個用戶友好、安全、高效的貨幣市場平台，滿足用戶的流動性需求。該協議是一個無需許可的借貸市場，主要為零售用戶設計，允許他們隨時直接透過錢包存入和借入數位資產。存款人可以根據借款人利用存款資產支付的利息來獲得收益。此外，用戶可以利用其存入的資產作為抵押來借入其他數位資產。

該計畫於 5 年在一輪種子融資中籌集了 2022 萬美元，由 Delphi Digital 領投，Three Arrows Capital 和 StarkWare 也參與其中。