分散型貸金業者zkLendは、脅威行為者がスマートコントラクトの欠陥を悪用して3,600イーサリアム(当時950万ドル相当)を盗むという侵害に遭いました。
zkLendは、イーサリアムのレイヤー2スケーリングソリューションであるStarknet上に構築された分散型マネーマーケット・プロトコルである。このプロトコルは、ユーザーが様々な資産を預けたり、借りたり、貸したりすることを可能にする。
攻撃は昨日の午後に行われ、zkLendはX上でサイバーセキュリティ・インシデントに見舞われていると警告した。
EthSecurityのTelegramチャンネルによると、脅威者はzkLendのスマートコントラクトのmint()関数の丸め誤差のバグを悪用した。
「攻撃者は、”lending_accumulator “が4.069297906051644020と非常に大きくなるように操作し、ztoken mint()とwithdraw()の間の丸め誤差を利用して、4.069297906051644021 wstETHを繰り返し入金し、2 weiを得た後、4.069297906051644020*1.5 -1 = 6.103946859077466029 wstETHを引き出し、わずか1 weiを消費しました」と、EthSecurityチャンネルへの投稿が書かれています。
Starknetネットワークを開発したStarkware社は、この脆弱性がStarknet技術の一部ではなく、アプリケーション固有のバグであることを確認した。
Cyversによると、脅威者はRailGunプライバシー・プロトコルを通じて暗号の洗浄を試みたが、プロトコル・ポリシーのためにブロックされたという。
zkLendは現在、ハッカーに対して、盗まれたイーサリアムの90%(3,300ETH)を返却すれば、残りの10%はそのまま持ち続けることができ、攻撃に対する責任は一切問われないとのメッセージを発表しています。
“我々は、あなたが今日のzkLendへの攻撃に責任があると理解しています。あなたは資金の10%をホワイトハット賞金として保有し、残りの90%、正確には3,300ETHをこのイーサリアムアドレスに送り返すことができます:0xCf31e1b97790afD681723fA1398c5eAd9f69B98C “とハッカーへのオンチェーンメッセージがある。
“送金を受け取った時点で、攻撃に関する一切の責任を免除することに同意する。”
“現段階ではセキュリティ会社や法執行機関と協力しています。2025年2月14日00:00UTCまでに連絡がない場合、追跡と起訴のための次のステップに進みます。”
暗号窃盗犯は、2月13日午後7時(米国東部標準時)までに盗まれた資金の90%を返還しなければならない。
このような状況では通常、ハッカーから何の反応もない。この攻撃に起因する脅威はない。
Comments