SlowMist identifica la biblioteca SafeMath en un contrato de mercado como la causa principal del exploit de 9.5 millones de dólares de zkLend

Firma de seguridad blockchain slowmist ha revelado que su equipo de seguridad identificó una vulnerabilidad crítica en el núcleo del reciente ataque a zkLend , un protocolo de mercado monetario de capa 2 creado sobre Starknet. La empresa atribuye el problema a la implementación de la biblioteca safeMath dentro del contrato de mercado.

Según SlowMist, la vulnerabilidad surge de la forma en que se manejan los cálculos de división. El contrato realiza operaciones de división directa, lo que genera una vulnerabilidad de redondeo a la baja al determinar la cantidad precisa de zTokens que se deben quemar durante la operación de retiro. Esta falla crea una oportunidad para que los atacantes exploten la discrepancia y obtengan beneficios no autorizados.

En respuesta a los hallazgos, SlowMist ha recomendado a los usuarios de zkLend que se mantengan alertas respecto de la seguridad de sus activos. La firma recomienda abstenerse temporalmente de realizar transacciones relacionadas con depósitos en la plataforma para mitigar el riesgo de posibles pérdidas financieras.

Hoy temprano, zkLend sufrió un exploit de 9.5 millones de dólares en la red Starknet. En respuesta, se suspendieron los retiros en el protocolo y zkLend se puso en contacto con el hacker, ofreciéndole una recompensa de “sombrero blanco” del 10 % de los fondos robados y solicitando la devolución del 90 % restante, lo que equivale a 3,300 ETH, aproximadamente 8.4 millones de dólares.

En una declaración compartida en la plataforma de redes sociales X, zkLend dijo: “Al recibir la transferencia, aceptamos liberarlo de toda responsabilidad con respecto al ataque. Estamos trabajando con empresas de seguridad y las fuerzas del orden en esta etapa. Si no tenemos noticias suyas antes de las 00:00 UTC del 14 de febrero de 2025, procederemos con los siguientes pasos para rastrearlo y procesarlo”.

La plataforma de alerta de seguridad en tiempo real Cyvers Alerts informó que los fondos robados fueron transferidos a Ethereum y lavados a través del protocolo centrado en la privacidad Railgun.

¿Qué es zkLend?

zkLend El objetivo de la plataforma es proporcionar una plataforma de mercado monetario fácil de usar, segura y eficiente, diseñada para satisfacer las necesidades de liquidez de los usuarios. El protocolo es un mercado de préstamos sin permisos diseñado principalmente para usuarios minoristas, que les permite depositar y tomar prestados activos digitales directamente a través de sus billeteras en cualquier momento. Los depositantes pueden obtener rendimientos en función de los intereses pagados por los prestatarios que utilizan los activos depositados. Además, los usuarios pueden aprovechar sus activos depositados como garantía para tomar prestados otros activos digitales.

El proyecto recaudó 5 millones de dólares en una ronda de financiación inicial en 2022, con Delphi Digital liderando la inversión y Three Arrows Capital y StarkWare también participando.