zkLend, pjattaforma deċentralizzata ta 'self fi flus kontanti fuq il-blockchain Starknet, waqgħet batut għal sfruttament serju, bil-hacker draining $ 9.5 miljun fi proprjetà kripto.
L-aġenzija tas-sigurtà Blockchain Cyvers ikkonfermat li l-fondi misruqa kienu inizjalment imqabbda ma 'Ethereum u mgħoddija mill-protokoll tal-privatezza Railgun.
Il-fondi mbagħad ġew ridiretti lejn il-ftehim uniku bħala riżultat tal-poloz ta 'assigurazzjoni ta' ġewwa tal-protokoll, iddikjara Cyverse nhar it-Tnejn.
Wara l-inċident, zkLend waqqaf l-irtirar kollu u ssuġġerixxa lill-klijenti biex ikomplu jiddepożitaw jew iħallsu lura s-self filwaqt li investigaw l-inċident.
Il-ksur qajjem qniepen ta 'allarm fiż-żona tad-DeFi, minħabba li jiġi bħala parti minn kwistjonijiet ta' sikurezza li qed jiżdiedu fis-settur kollu. Iċ-ċiberkriminali diġà serqu 'il fuq minn $110 miljun minn kompiti blockchain f'dawn it-12-il xahar, f'konformità mal-għarfien ta' DeFiLlama.
zkLend laħaq lill-hacker b'messaġġ fuq il-katina li jipprovdi għoxra% "kappell abjad" bounty f'bidla għar-ritorn tal-fondi li jifdal—jammontaw għal tliet 300 ETH (madwar $ 8.78 miljun).
"Malli nirċievu t-trasferiment, naqblu li neħilsu minn kull responsabbiltà dwar l-attakk," il-pjattaforma infurmata.
zkLend stabbilixxa skadenza stretta tal-14 ta’ Frar biex il-hacker jikkonforma, u wissa li tista’ tittieħed mozzjoni awtorizzata jekk il-fondi ma ġewx ritornati.
Il-pjattaforma tas-self iddikjarat li diġà qed jaħdmu mal-infurzar tar-regolamentazzjoni u diversi kumpaniji tas-sikurezza oħra—flimkien ma’ StarkWare, Starknet Basis, Binance Safety—biex jagħtu ħjiel dwar il-fondi misruqa u jaqbdu l-hacker.
"Dan kien wieħed mill-akbar hacks fuq Starknet jekk mhux l-akbar f'dawn l-aħħar snin," qal Preetam Rao, CEO u Ko-fundatur tad-ditta tas-sigurtà tal-web QuillAudits. Iddekripta. "Tajjeb li tara li zkLend qed ikun trasparenti matul is-sitwazzjoni kollha offra wkoll bounty lill-hacker."
Il-kawża ewlenija tal-hack ma tidhirx li tinsab fis-sistema tal-prova, iżda pjuttost fil-loġika tal-kuntratt,” qal Rao, filwaqt li nnota li t-tim tiegħu qed jirrevedi l-inċident biex jipprevjeni kwistjonijiet simili fi protokolli oħra.
Taħdit li Iddekripta, Meir Dolev, Ko-fundatur u CTO ta 'Cyvers, innota: "Dan l-inċident jenfasizza perikli ta' sikurezza fis-self DeFi u jqajjem kwistjonijiet fir-rigward tas-sigurtà tal-protokolli fuq l-infrastruttura rollup bla għarfien ta 'Starknet."
Mhux bħal mixers konvenzjonali tal-muniti simili għal Twister Money, li jgħaqqdu u jqassmu mill-ġdid il-fondi biex joskuraw l-oriġini tagħhom, il-hackers zkLend użaw Railgun li jintegra għażliet ta 'privatezza istantanjament fil-funzjonijiet DeFi, li jiggarantixxi l-anonimità tal-klijenti filwaqt li jinteraġixxu mal-blockchain.
"Aħna impenjati għal trasparenza sħiħa u se naqsmu analiżi komprensiva post-mortem malli titlesta," il-persunal tweet, u ħeġġeġ lill-klijenti biex jibqgħu persuna affettwata hekk kif jaħdmu mill-inċident.
Fuq il-Web3 Summit 2024, il-fundatur ta' ImmuneFi Mitchell Amador qasam l-ideat tiegħu ma' Iddekripta, billi sejjaħ DeFi hacking "negozju infinitament sostenibbli u vijabbli." Madankollu żied jgħid li ż-żona tal-kripto "bla dubju" qed issir aktar sigura.
Il-hackers tad-DeFi, stqarr, kienu "fittxu ħsara żejda, akbar minn qatt qabel—u l-kompetenza tagħhom hija wkoll rilevanti fi ftit oqsma kompletament differenti."
Editjat minn Stacy Elliott.
