【安全圈】黑客利用智能合约漏洞盗取价值950万美元以太币
【安全圈】黑客利用智能合约漏洞盗取价值950万美元以太币
安全圈 2025-02-16 11:01
关键词
黑客、虚拟货币
去中心化借贷协议 zkLend 在 2025 年 2 月 12 日遭遇了一起严重的黑客攻击事件,损失了约 3,600 枚以太坊(当时价值约 950 万美元)。zkLend 是基于 Starknet 网络构建的去中心化货币市场协议,允许用户存入、借贷和借出各种资产。
攻击细节
此次攻击的核心原因是 zkLend 的智能合约中存在漏洞。攻击者利用了合约中的 safeMath 库在进行除法计算时的舍入错误漏洞,通过闪电贷机制操控了累加器的值,从而在提款时获得超出预期的资产。具体来说,攻击者通过多次闪电贷操作,将累加器的值放大到一个非常大的数值,进而利用舍入漏洞在提款时获得额外的资产。
资金流向与追回
攻击发生后,被盗资金被跨链转移至以太坊网络,并试图通过隐私协议 Railgun 进行洗钱。然而,由于 Railgun 协议的政策限制,部分资金被强制返还至原地址。
zkLend 的应对措施
zkLend 团队在攻击发生后迅速采取行动,向黑客发出通牒,要求其在 2025 年 2 月 14 日 0 时(UTC)之前归还 90% 的被盗资金(即 3,300 枚 ETH)。作为交换,黑客可以保留 10% 的资金作为“白帽赏金”,并且 zkLend 将免除其在此次攻击中的所有法律责任。然而,截止日期过后,黑客并未回应,zkLend 团队已向香港警方、FBI 和国土安全部提交事件报告,并启动了调查。
后续计划
由于黑客未在截止日期前与 zkLend 团队取得联系,zkLend 将于下周公布资金追回和用户补偿计划。团队还计划发布详细的事后分析报告,以确保事件的透明度。
相关风险提示
此次事件再次凸显了 DeFi 协议中存在的安全漏洞问题。尽管智能合约审计和安全实践不断进步,但 DeFi 领域的安全事件仍频发。用户在参与 DeFi 平台时需要更加谨慎,充分了解相关风险,并确保自身资产安全。
END
阅读推荐
【安全圈】英国被曝要求苹果创建“后门” 以检索全球用户云端内容
【安全圈】OmniGPT 聚合类 AI 平台遭黑客入侵,3400 万条聊天记录遭泄露
安全圈
←扫码关注我们
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!