zkLend, un protocollo di prestito finanziario decentralizzato su Starknet, ha subito una grave violazione della sicurezza. Di conseguenza, ha perso circa 3.700 ETH, per un valore di circa 4,9 milioni di dollari.
L’exploit ha costretto la piattaforma a sospendere i prelievi mentre le indagini continuano.
Risposta all'exploit
zkLend ha confermato l'incidente in una serie di X post l'11 febbraio, affermando che milioni di criptovalute erano stati drenati dai suoi contratti intelligenti.
“Siamo a conoscenza dell’incidente di sicurezza in corso su zkLend. Il team sta ora indagando e fornirà un aggiornamento quando possibile”, afferma il protocollo. Ore dopo, hanno consigliato agli utenti di astenersi dal depositare o rimborsare fondi mentre lavoravano per determinare la causa principale. Hanno inoltre interrotto tutti i prelievi per evitare ulteriori perdite.
In seguito all'attacco, zkLend ha cercato i servizi di diverse organizzazioni, tra cui StarkWare, ZeroShadow, Binance Security e Hypernative Labs, per rintracciare l'hacker e recuperare i fondi rubati. Ha inoltre promesso di condividere un’analisi più dettagliata non appena sarà completata l’autopsia.
L'exploit ha interessato diverse strategie DeFi legate a zkLend, comprese le strategie STRK, USDC ed ETH Sensei di STRKFarm, congelando i prelievi fino a quando la situazione non sarà risolta.
Secondo la società di sicurezza blockchain QuillAudits, l'autore del reato, identificato dall'indirizzo 0x64…9109, ha preso di mira innanzitutto un contratto specifico, 0x04…3b26, prima di sottrarre i fondi. Hanno quindi spostato gli asset rubati su Ethereum, incanalandoli attraverso il mixer crittografico Railgun, uno strumento incentrato sulla privacy spesso utilizzato per oscurare le tracce delle transazioni.
I dati on-chain condivisi dalla piattaforma di sicurezza hanno mostrato diverse transazioni che hanno portato ad attività di riciclaggio, con 706 ETH, del valore di circa 1,8 milioni di dollari, già inviati attraverso il mixer.
Offerta di taglia Whitehat
In un ultimo disperato tentativo di recuperare i fondi, zkLend ha inviato un messaggio diretto all'hacker, offrendo una ricompensa whitehat del 10%. Ciò significherebbe che l'aggressore tratterrebbe quasi 400 ETH per un valore di oltre un milione di dollari se i restanti 3.300 ETH venissero restituiti entro le 00:00 UTC di San Valentino. Il team ha inoltre sottolineato che l'offerta è giuridicamente vincolante e solleva lo sfruttatore “da ogni responsabilità” in merito alla rapina.
Non è la prima volta che i protocolli dalla parte sbagliata degli exploit provano a negoziare con malintenzionati per ottenere la restituzione dei fondi. Nel marzo dello scorso anno, WOOFI ha perso 8,5 milioni di dollari in un attacco con prestito lampo e successivamente ha offerto una percentuale del bottino come taglia bianca.
Allo stesso modo, quasi sei mesi prima, gli hacker nordcoreani avevano rubato più di 70 milioni di dollari dagli hot wallet dell'exchange di criptovalute CoinEx, portando la piattaforma a offrire loro quella che veniva definita una "generosa ricompensa per i bug".
Purtroppo, in entrambi i casi, nonostante le richieste di ricompensa, i fondi non sono mai stati restituiti.
Il post zkLend sfruttato per 4,9 milioni di dollari in ETH, il team si appella agli hacker con un'offerta del 10% è apparso per primo su CryptoPotato .