Merkezi olmayan para ödünç veren Zklend, tehdit aktörlerinin o sırada 9.5 milyon dolar değerinde 3.600 Ethereum'u çalmak için akıllı bir sözleşme kusurundan yararlandığı bir ihlal geçirdi.
ZKLend, Ethereum için bir katman 2 ölçeklendirme çözümü olan StarkNet üzerine inşa edilmiş merkezi olmayan bir para piyasası protokolüdür. Kullanıcıların çeşitli varlıkları yatırmasını, ödünç almasını ve borç vermelerini sağlar.
Saldırı dün öğleden sonra gerçekleşti, ZKLEND X'te uyarınca bir siber güvenlik olayı yaşıyorlardı.
Ethsecurity Telegram kanalına göre, tehdit aktörleri ZKLend'in Akıllı Sözleşme Mint () işlevinde yuvarlanan bir hata hatasını kullandı.
"Saldırgan," Lending_accumulator "ı 4.069297906051644020'de çok büyük olacak şekilde, daha sonra Ztoke Mint () sırasında yuvarlama hatasından yararlandı ve 4.069297906051644021 WSTETH daha sonra 2 wei'yi geride bırakacak. 46859077466029 wsteth Sadece 1 Wei harcayın, "etsecurity kanalına bir yazı okuyor.
StarkNet Network'ü geliştiren Starkware, güvenlik açığının StarkNet teknolojisinin bir parçası olmadığını, daha ziyade uygulamaya özgü bir hata olduğunu doğruladı.
Cyvers'a göre, tehdit aktörleri Railgun Gizlilik Protokolü aracılığıyla kriptoyu aklamaya çalıştı, ancak protokol politikaları nedeniyle engellendi.
ZKLEND, hacker'a, 3.300 ETH olan çalıntı Ethereum'un% 90'ını geri döndüklerinde, diğer% 10'u koruyabileceklerini ve saldırı için herhangi bir sorumlulukla karşılaşmayacağını belirten bir mesaj yayınladı.
"Bugünün ZKLend'e saldırısından sorumlu olduğunuzu anlıyoruz. Fonların% 10'unu bir Whitehat ödül olarak saklayabilir ve kalan% 90 veya 3.300 ETH'yi tam olarak geri gönderebilirsiniz: 0xcf31b97790afd681723fa1398c5ead9f69b98c," Hacker'a zincirli bir mesaj.
Diyerek şöyle devam etti: "Transferi aldıktan sonra, saldırı ile ilgili herhangi bir sorumluluktan serbest bırakmayı kabul ediyoruz."
Diyerek şöyle devam etti: "Bu aşamada güvenlik firmaları ve kolluk kuvvetleri ile çalışıyoruz. Sizden 00:00 UTC, 14 Şubat 2025'e kadar duymazsak, sizi takip etmek ve kovuşturmak için sonraki adımlarla devam edeceğiz."
Kripto hırsızları, çalınan fonların% 90'ını iade etmek için 13 Şubat'a kadar saat 19: 00'da EST'de var, ardından Zklend yasal işlem yapacak.
Bu durumlarda genellikle durum böyle olan bilgisayar korsanından herhangi bir yanıt alınmamıştır. Saldırıya hiçbir tehdit aktörü atfedilmedi.
Kanadalı Defi Crypto istismarlarını kullanarak 65 milyon dolar çalmakla suçlandı
FBI, Kuzey Koreli bilgisayar korsanlarını 308 milyon dolara bağlıyor
Bilgisayar korsanları Palo Alto Networks'teki Kimlik Doğrulama Bypass'ı Pan-Os
Sonicwall Güvenlik Duvarı İstismarı Hacker'ların VPN oturumlarını kaçırmasına izin veriyor, şimdi yama
Apple App Store'da ilk kez bulunan kripto yazma uygulamaları
Kaynak: Bleeping Computer