zklend 官方承認遭到黑客攻擊，威脅者利用智能合約中 mint() 函數的舍入錯誤漏洞盜取了 3600 個以太幣，價值約 950 萬美元。

zkLend 是一個建立在 Starknet 上的去中心化貨幣市場協議，Starknet 是以太坊的二層擴容解決方案，它使用戶能夠存入、借入和貸出各種資產。據了解，攻擊者將“lending_accumulator”操縱為非常大的數值 4.069297906051644020，然后利用 ztoken mint() 和 withdraw() 過程中的舍入誤差，反復存入 4.069297906051644021 wstETH，每次獲得 2 個 wei，再取出 4.069297906051644020×1.5 - 1 = 6.103946859077466029 wstETH，每次僅花費 1 個 wei。

開發 Starknet 網絡的 Starkware 確認，該漏洞并非 Starknet 技術本身的問題，而是某個應用程序特有的錯誤。

據 Cyvers 稱，威脅者試圖通過 RailGun 隱私協議清洗加密貨幣，但因協議政策而被阻止。

zkLend現已向黑客發出消息，稱如果他們歸還被盜以太坊的90%資金到以太坊地址：0xCf31e1b97790afD681723fA1398c5eAd9f69B98C，即3300 ETH后，他們可以保留另外10%的資金作為白帽賞金，并且不會對攻擊承擔任何責任。

目前zkLend 正在與安全公司和執法部門合作。如果在2025年2月14日前沒有收到威脅分子的消息，該公司將繼續采取下一步措施進行跟蹤和起訴。目前，黑客還沒有任何回應，這屬網絡攻擊中的常見情況。

參考及來源：https://www.bleepingcomputer.com/news/cryptocurrency/zklend-loses-95m-in-crypto-heist-asks-hacker-to-return-90-percent/