Ethereum’un katmanı-2 ZK-tulum teknolojisi üzerine inşa edilen önemli bir merkezi olmayan finans (DEFI) protokolü olan Zklend, mevcut piyasa fiyatlarında yaklaşık 8,5 milyon dolar değerinde yaklaşık 3.300 ETH’nin hırsızlığına neden olan büyük bir güvenlik ihlaline kurban oldu.
Beklenmedik bir şekilde, Zklend, kalan fonların güvenli iadesi için alışverişte 330 ETH’ye (850.000 $) eşdeğer% 10 Whitehat ödülünü sunan saldırganla kamuya temasa geçti.
Şirket, Ethereum Zend Token Dağıtıcı hesabı aracılığıyla resmi bir açıklama yayınladı ve doğrulanmış Twitter/X hesabı aracılığıyla özgünlüğünü doğruladı.
Şirket ayrıca saldırgan için bir son tarih belirledi: 00:00 UTC 14 Şubat 2025 tarihinde hiçbir yanıt almazsa, ZKLend bireyi (ler) sorumlu olarak izlemek ve kovuşturmak için kolluk kuvvetleri ve blockchain güvenlik firmaları ile çalışarak konuyu artıracaktır.
İstismar 12 Şubat 2025’in başlarında gerçekleşti ve ZKLEND’in Ethereum’un ZK-Rollup Katman-2 ağına konuşlandırılan akıllı sözleşmelerini hedef aldı.
Güvenlik açığının spesifik teknik detayları henüz açıklanmamış olsa da, blockchain analistleri saldırganın ZKLend’in akıllı sözleşme işlevlerinden birinde bir kusurdan yararlandığını öne sürüyor. İstismar, ZKLEND’in likidite havuzlarından kullanıcı fonlarının yetkisiz para çekilmesine izin verdi.
Çalıntı fonlar hızla saldırgan tarafından kontrol edilen tek bir cüzdanda birleştirildi. Anahtar transferlerden biri için işlem karma 0xe04A7954D44090634F3F5B4C65B358625AF2D393BC88942D6F46636E4080067, bu da Etherscan üzerinde doğrulanabilendir.
Zklend’in yanıtı
Daha fazla hasarı azaltmak ve kullanıcı fonlarını geri kazanmak için ZKLend, beyaz bir şapka müzakere stratejisini seçti – protokollerin, çalınan fonların bir kısmını bir Bounty olarak sunarak saldırganların etik tarafına hitap etmeye çalıştığı Defi hack’lerinde yaygın bir yaklaşım. gerisini iade etmek karşılığında.
Şirket, bu teklifin yasal olarak bağlayıcı olduğunu ve resmi kanalları aracılığıyla şeffaf bir şekilde iletildiğini vurguladı.
Dönüş fonları için sağlanan Ethereum adresi – 0xcf31e1b97790afd681723fa1398c5ead9f69b98c – doğrudan ZKLend’in operasyonlarına bağlıdır.
Hacker ile müzakere etmenin yanı sıra, ZKLEND, müzakerelerin başarısız olması durumunda faili izlemek için önde gelen blockchain adli firmaları ve kolluk kuvvetleri ile işbirliği yapıyor.
Şirket, kullanıcılara platformunu güvence altına almak ve gelecekteki olayları önlemek için gerekli tüm adımları attığından emin oldu.
Bu olay, akıllı sözleşme denetimi ve güvenlik uygulamalarındaki gelişmelere rağmen DEFI protokollerinde devam eden güvenlik açıklarını vurgulamaktadır.
Zklend’in bir Whitehat ödülünü sunma kararı, şirketlerin saldırganlara karşı acil yasal işlemlere göre fon toparlanmasına öncelik verdiği DEFI alanında artan bir eğilimi yansıtıyor.
Bununla birlikte, bu yaklaşım, korsanların güvenlik açıklarından yararlandıktan sonra olumlu şartları müzakere edebileceklerine inanırsa, daha fazla saldırıyı teşvik edebileceği risksiz değildir.
14 Şubat son tarih yaklaştıkça, tüm gözler saldırganın Zklend’in teklifini kabul edip etmeyeceği veya potansiyel yasal sonuçlarla karşılaşıp karşılaşmayacağı. Bu arada, kullanıcılar DEFI platformlarıyla etkileşime girerken dikkatli olmaları ve ilişkili risklerin farkında olduklarından emin olmaları istenir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free