SlowMist Mengidentifikasi Pustaka SafeMath Dalam Kontrak Pasar Sebagai Penyebab Utama Eksploitasi zkLend Sebesar $9.5 Juta

Perusahaan keamanan blockchain Kabut Lambat telah mengungkapkan bahwa tim keamanannya mengidentifikasi kerentanan kritis pada inti serangan baru-baru ini zk Pinjamkan , protokol pasar uang Layer 2 yang dibangun di atas Starknet. Perusahaan tersebut mengaitkan masalah tersebut dengan penerapan pustaka safeMath dalam kontrak pasar.

Menurut SlowMist, kerentanan muncul dari cara penghitungan pembagian ditangani. Kontrak tersebut melakukan operasi pembagian langsung, yang menyebabkan kerentanan pembulatan ke bawah saat menentukan jumlah pasti zToken yang harus dibakar selama operasi penarikan. Cacat ini menciptakan peluang bagi penyerang untuk mengeksploitasi perbedaan dan memperoleh keuntungan yang tidak sah.

Menanggapi temuan tersebut, SlowMist telah menyarankan pengguna zkLend untuk tetap waspada terhadap keamanan aset mereka. Perusahaan tersebut merekomendasikan untuk sementara waktu menahan diri dari melakukan transaksi terkait deposito di platform tersebut guna mengurangi risiko potensi kerugian finansial.

zkLend mengalami eksploitasi senilai $9.5 juta pada jaringan Starknet hari ini. Sebagai tanggapan, penarikan pada protokol tersebut telah dihentikan sementara, dan zkLend menghubungi peretas tersebut, menawarkan hadiah "white hat" sebesar 10% dari dana yang dicuri sambil meminta pengembalian 90% sisanya, yang berjumlah 3,300 ETH, sekitar $8.4 juta.

Dalam pernyataan yang dibagikan di platform media sosial X, zkLend mengatakan, “Setelah menerima transfer, kami setuju untuk membebaskan Anda dari segala tanggung jawab terkait serangan tersebut. Kami bekerja sama dengan firma keamanan dan penegak hukum pada tahap ini. Jika kami tidak mendengar kabar dari Anda hingga pukul 00:00 UTC, 14 Februari 2025, kami akan melanjutkan langkah berikutnya untuk melacak dan menuntut Anda.”

Platform peringatan keamanan waktu nyata Cyvers Alerts melaporkan bahwa dana yang dicuri dijembatani ke Ethereum dan dicuci melalui protokol Railgun yang berfokus pada privasi.

Apa itu zkLend?

zk Pinjamkan bertujuan untuk menyediakan platform pasar uang yang mudah digunakan, aman, dan efisien yang dirancang untuk memenuhi kebutuhan likuiditas pengguna. Protokol ini adalah pasar pinjaman tanpa izin yang dirancang terutama untuk pengguna ritel, yang memungkinkan mereka untuk menyimpan dan meminjam aset digital secara langsung melalui dompet mereka kapan saja. Deposan dapat memperoleh hasil berdasarkan bunga yang dibayarkan oleh peminjam yang memanfaatkan aset yang disimpan. Selain itu, pengguna dapat memanfaatkan aset yang disimpan sebagai agunan untuk meminjam aset digital lainnya.

Proyek ini mengumpulkan $5 juta dalam putaran pendanaan awal pada tahun 2022, dengan Delphi Digital memimpin investasi dan Three Arrows Capital dan StarkWare juga berpartisipasi.