ZkLend, giao thức thị trường tiền tệ và cho vay trên nền tảng zero-knowledge rollup StarkNet, vừa xác nhận đã bị tấn công và mất hơn 9 triệu USD. Đáng chú ý, nạn nhân đã đề nghị hacker giữ lại 10% số tiền đánh cắp như một phần thưởng cho “hacker mũ trắng” (white hat) và yêu cầu hoàn trả 90% còn lại, tương đương 3.300 ETH (8,4 triệu USD).
Sau vụ tấn công, zkLend đã tạm ngưng chức năng rút tiền để hạn chế rủi ro. Đội ngũ của giao thức đang tích cực điều tra phương pháp mà kẻ tấn công đã sử dụng để đánh cắp tiền.
Trong nỗ lực giải quyết tình huống thông qua đàm phán với hacker, zkLend đã gửi thông điệp cho kẻ tấn công, cam kết sẽ không có hành động pháp lý nếu họ hoàn trả số tiền. “Khi nhận được chuyển khoản, chúng tôi đồng ý miễn trừ mọi trách nhiệm pháp lý liên quan đến vụ tấn công,” zkLend viết trong tin nhắn onchain gửi đến ví của hacker.
To the hacker:
We understand that you are responsible for today’s attack on zkLend. You may keep 10% of the funds as a whitehat bounty, and send back the remaining 90%, or 3,300 ETH to be exact, to this Ethereum address: 0xCf31e1b97790afD681723fA1398c5eAd9f69B98C.
Upon… pic.twitter.com/piEVPDHZd4
— zkLend (@zkLend) February 12, 2025
Chi tiết cụ thể về cách thức vụ hack được thực hiện vẫn đang trong quá trình điều tra. Tuy nhiên, dựa trên các mô hình chung được quan sát trong các vụ hack DeFi tương tự, kẻ tấn công có thể đã khai thác lỗ hổng trong mã hợp đồng thông minh để rút tiền.
ZkLend cho biết thêm họ đang tích cực theo dõi dòng tiền và nỗ lực xác định danh tính hacker với sự hợp tác của các đội ngũ khác. Theo dữ liệu từ DeFiLlama, zkLend hiện đang hoạt động kém hiệu quả với tổng giá trị khóa (TVL) chỉ hơn 1,2 triệu USD, với 14,6 triệu USD tiền vay trên Starknet Layer 2.
Trước đó, zkLend đã huy động được 5 triệu USD trong vòng gọi vốn hạt giống năm 2022, do Delphi Digital dẫn đầu và có sự tham gia của Three Arrows Capital và StarkWare.
