Giao thức lending zkLend đã bị hack hơn 9,48 triệu USD vào rạng sáng 12/02. Nền tảng hiện đã tạm dừng rút tiền và đề nghị hacker giữ 10% bounty nếu hoàn trả tiền.
zkLend thiệt hại gần 9,5 triệu USD vì bị tấn công
Sáng ngày 12/02/2025, giao thức lending trên StarkNet là zkLend bất ngờ thông báo gặp sự cố bảo mật nghiêm trọng, đồng thời cho biết đội ngũ dự án đang tiến hành điều tra nguyên nhân vụ việc.
Khoảng 1 tiếng sau đó, nền tảng đã quyết định tạm dừng chức năng rút tiền và khuyến cáo người dùng không được gửi tiền vào giao thức cho đến khi có thông báo tiếp theo nhằm ngăn chặn tổn thất lan rộng.
Theo thống kê on-chain từ CertiK Alert, hacker đã thực hiện nhiều giao dịch khai thác lỗ hổng bảo mật để tấn công các thị trường cho vay token trên zkLend, sau đó chuyển khoảng 5 triệu USD sang mạng Ethereum.
Dữ liệu từ website zkLend cho thấy hacker đã nhắm vào thị trường cho vay token phái sinh wstETH trên zkLend. Có thể thấy là toàn bộ số tiền vay lại trong pool wstETH chỉ là con số 0 tròn trĩnh, dù tổng lượng supply lên tới 21,76 triệu USD – cao nhất trong các thị trường lending của nền tảng. Vì vậy, nhiều khả năng hacker đã lợi dụng lỗ hổng để khai thác toàn bộ thanh khoản mà không cần thực hiện bất kỳ khoản vay nào.
Thống kê các thị trường cho vay trên zkLend, ảnh chụp màn hình trên zkLend lúc 12:20 PM ngày 12/02/2025
Ngoài ra, địa chỉ ví được cho là của hacker liên tục nhận về nhiều giao dịch, phần lớn là token wstETH với số lượng khác nhau.
Đến 10 giờ sáng ngày 12/02, zkLend chính thức xác nhận bị hack, ước tính thiệt hại rơi vào khoảng 3.666 ETH (tương đường 9,48 triệu USD). Dự án cũng gửi đi “tối hậu thư” đến hacker với đề nghị thỏa hiệp: giữ lại 10% số tiền bị đánh cắp như một khoản thưởng bounty với điều kiện hacker phải hoàn trả 90%, tương đương với 3,300 ETH (khoảng 8,5 triệu USD) vào địa chỉ ví Ethereum: 0xCf31e1b97790afD681723fA1398c5eAd9f69B98C.
zkLend cũng cam kết nếu nhận được khoản tiền hoàn trả, họ sẽ từ bỏ mọi hành động pháp lý liên quan đến vụ tấn công. Tuy nhiên, nếu hacker không phản hồi trước 00:00 UTC ngày 14/02/2025, nền tảng này sẽ phối hợp với các công ty bảo mật và cơ quan thực thi pháp luật để truy vết, xác định danh tính và tiến hành truy tố.
Bên cạnh đó, zkLend cũng trấn an người dùng, khẳng định rằng đội ngũ đang theo dõi sát sao dòng tiền bị đánh cắp và phối hợp với các đơn vị an ninh hàng đầu như StarkWare, Starknet Foundation, Binance Security Team, Hypernative Labs và đặc biệt là ZeroShadow, tiền thân là Chainalysis Incident Response.
Thông điệp này còn là lời cảnh báo ngầm gửi đến hacker rằng mọi hành động rửa tiền hay che giấu danh tính sẽ không dễ dàng thoát khỏi sự truy vết của các đơn vị an ninh blockchain hàng đầu.
Tính đến thời điểm viết bài, hacker vẫn chưa có động thái hoàn trả số tiền bị đánh cắp cho zkLend. Địa chỉ ví được zkLend cung cấp vẫn chưa ghi nhận bất kỳ khoản chuyển tiền lớn nào, ngoài một vài giao dịch thử nghiệm nhỏ từ đội ngũ dự án.
Chưa có bất kì giao dịch nhận tiền nào trên địa chỉ của zkLend, ảnh chụp màn hình trên Etherscan lúc 12:20 PM ngày 12/02/2025
Sau vụ tấn công nhắm trên, TVL của zkLend đã lao dốc nghiêm trọng, giảm từ 11,57 triệu USD xuống chỉ còn 1,17 triệu USD.
Thống kê TVL của zkLend. Nguồn: DefiLlama (12/02/2025)
Dù vụ hack gây chấn động, giá ZEND lại không chịu tác động quá lớn. Hiện tại, ZEND vẫn dao động quanh mức 0,036 USD, sụt giảm 13,5% trong 24 giờ qua. So với quy mô và mức độ nghiêm trọng của sự cố, đây được xem là mức giảm khá khiêm tốn của token này.
Biến động giá ZEND trong 24 giờ qua, ảnh chụp màn hình trên CoinGecko lúc 12:30 PM ngày 12/02/2025
Coin68 tổng hợp
Nguồn: https://coin68.com/zklend-thiet-hai-gan-95-trieu-usd-vi-bi-tan-cong/
