SlowMist identifie la bibliothèque SafeMath dans le contrat de marché comme la cause principale de l'exploitation de 9.5 millions de dollars de zkLend

Entreprise de sécurité blockchain slowmist a révélé que son équipe de sécurité a identifié une vulnérabilité critique au cœur de la récente attaque contre zkPrêter , un protocole de marché monétaire de couche 2 basé sur Starknet. L'entreprise attribue le problème à l'implémentation de la bibliothèque safeMath dans le contrat de marché.

Selon SlowMist, la vulnérabilité provient de la manière dont les calculs de division sont traités. Le contrat effectue des opérations de division directes, ce qui entraîne une vulnérabilité d'arrondi à la baisse lors de la détermination du montant précis de zTokens qui doivent être brûlés lors de l'opération de retrait. Cette faille crée une opportunité pour les attaquants d'exploiter l'écart et d'obtenir des avantages non autorisés.

En réponse à ces conclusions, SlowMist a conseillé aux utilisateurs de zkLend de rester vigilants quant à la sécurité de leurs actifs. L'entreprise recommande de s'abstenir temporairement d'effectuer des transactions liées aux dépôts sur la plateforme afin d'atténuer le risque de pertes financières potentielles.

zkLend a été victime d'un exploit de 9.5 millions de dollars sur le réseau Starknet plus tôt dans la journée. En réponse, les retraits sur le protocole ont été suspendus et zkLend a contacté le pirate informatique, lui offrant une récompense « white hat » de 10 % des fonds volés tout en demandant la restitution des 90 % restants, ce qui représente 3,300 8.4 ETH, soit environ XNUMX millions de dollars.

Dans une déclaration partagée sur la plateforme de médias sociaux X, zkLend a déclaré : « Dès réception du virement, nous acceptons de vous dégager de toute responsabilité concernant l'attaque. Nous travaillons actuellement avec des sociétés de sécurité et les forces de l'ordre. Si nous n'avons pas de vos nouvelles d'ici 00h00 UTC, le 14 février 2025, nous passerons aux étapes suivantes pour vous traquer et vous poursuivre. »

La plateforme d'alerte de sécurité en temps réel Cyvers Alerts a signalé que les fonds volés ont été transférés vers Ethereum et blanchis via le protocole Railgun, axé sur la confidentialité.

Qu'est-ce que zkLend ?

zkPrêter vise à fournir une plateforme de marché monétaire conviviale, sécurisée et efficace, adaptée aux besoins de liquidité des utilisateurs. Le protocole est un marché de prêt sans autorisation conçu principalement pour les utilisateurs de détail, leur permettant de déposer et d'emprunter des actifs numériques directement via leurs portefeuilles à tout moment. Les déposants peuvent gagner des rendements basés sur les intérêts payés par les emprunteurs qui utilisent les actifs déposés. De plus, les utilisateurs peuvent utiliser leurs actifs déposés comme garantie pour emprunter d'autres actifs numériques.

Le projet a levé 5 millions de dollars lors d'un tour de financement d'amorçage en 2022, Delphi Digital menant l'investissement et Three Arrows Capital et StarkWare participant également.