Pemberi pinjaman uang yang terdesentralisasi Zklend menderita pelanggaran di mana aktor ancaman mengeksploitasi cacat kontrak pintar untuk mencuri 3.600 Ethereum, senilai $ 9,5 juta pada saat itu.
Zklend adalah protokol pasar uang terdesentralisasi yang dibangun di atas Starknet, solusi penskalaan Layer 2 untuk Ethereum. Ini memungkinkan pengguna untuk menyetor, meminjam, dan meminjamkan berbagai aset.
Serangan terjadi kemarin sore, dengan Zklend peringatan pada x Mereka menderita insiden keamanan siber.
Menurut saluran Telegram Ethsecurity, para aktor ancaman mengeksploitasi bug kesalahan pembulatan dalam fungsi Smart Contract Mint () Zklend.
Penyerang memanipulasi “Lending_accumulator” menjadi sangat besar di 4.069297906051644020, kemudian mengambil keuntungan dari kesalahan pembulatan selama ztoken mint () dan penarikan () untuk berulang kali menyetor 4.06929799996666666666666666666666666666666666666666666666666666666666666666666666666662. 9077466029 wsteth to menghabiskan hanya 1 wei, “membaca posting ke Saluran Ethsecurity.
Starkware, yang mengembangkan jaringan Starknet, dikonfirmasi Bahwa kerentanan itu bukan bagian dari teknologi StarkNet melainkan bug khusus aplikasi.
Menurut Cyverspara aktor ancaman berusaha untuk mencuci crypto melalui protokol privasi railgun tetapi diblokir karena kebijakan protokol.
Zklend kini telah mengeluarkan pesan kepada peretas yang menyatakan bahwa jika mereka mengembalikan 90% dari Ethereum yang dicuri, yaitu 3.300 ETH, mereka dapat menjaga 10% lainnya dan tidak akan menghadapi kewajiban apa pun atas serangan tersebut.
“Kami memahami bahwa Anda bertanggung jawab atas serangan hari ini terhadap Zklend. Anda dapat menyimpan 10% dana sebagai hadiah Whitehat, dan mengirimkan kembali 90% yang tersisa, atau 3.300 ETH tepatnya, ke alamat Ethereum ini: 0xcf31e1b977790afd681723fa1398c5c5c5f69.eAd9fd6881723FA1398C5C5C5C5F69,” “”FA1398C5C5C5C5C5C5C5F6F69,” “FA1398C5C5C5C5C5C5C5C5F6F69, “” “”FD50AFD6881723FA1398C5C5C5C5C5C5C5C5C5OR9F6FD68.” ” seorang rantai Pesan ke peretas.
“Setelah menerima transfer, kami setuju untuk melepaskan dari setiap dan semua tanggung jawab mengenai serangan itu.”
“Kami bekerja dengan perusahaan keamanan dan penegakan hukum pada tahap ini. Jika kami tidak mendengar kabar dari Anda pada 00:00 UTC, 14 Feb 2025, kami akan melanjutkan dengan langkah selanjutnya untuk melacak dan menuntut Anda.”
Pencuri crypto memiliki waktu hingga 13 Februari, pukul 19:00 EST, untuk mengembalikan 90% dari dana curian, setelah itu Zklend akan melakukan tindakan hukum.
Belum ada tanggapan dari peretas, yang biasanya terjadi dalam situasi ini. Tidak ada aktor ancaman yang dikaitkan dengan serangan itu.
