zkLend pierde 9,5 millones de dólares en un robo de criptomonedas

Iniciado por AXCESS, Febrero 13, 2025, 03:42:33 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 13, 2025, 03:42:33 AM Ultima modificación: Febrero 13, 2025, 01:50:37 PM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El prestamista de dinero descentralizado zkLend sufrió una vulneración en la que los actores de amenazas explotaron una falla de contrato inteligente para robar 3600 Ethereum, con un valor de 9,5 millones de dólares en ese momento.

zkLend es un protocolo de mercado monetario descentralizado creado sobre Starknet, una solución de escalado de capa 2 para Ethereum. Permite a los usuarios depositar, pedir prestado y prestar varios activos.

El ataque tuvo lugar ayer por la tarde, y zkLend advirtió en X que estaban sufriendo un incidente de ciberseguridad.

Según el canal de Telegram de EthSecurity, los actores de amenazas explotaron un error de redondeo en la función mint() del contrato inteligente de zkLend.

"El atacante manipuló el "lending_accumulator" para que fuera muy grande en 4.069297906051644020, luego aprovechó el error de redondeo durante ztoken mint() y retreat() para depositar repetidamente 4.069297906051644021 wstETH obteniendo 2 wei y luego retiró 4.069297906051644020*1.5 -1 = 6.103946859077466029 wstETH para gastar solo 1 wei", se lee en una publicación en el canal EthSecurity.

Starkware, que desarrolló la red Starknet, confirmó que la vulnerabilidad no era parte de la tecnología Starknet sino más bien un error específico de la aplicación.

Según Cyvers, los actores de la amenaza intentaron blanquear las criptomonedas a través del protocolo de privacidad RailGun, pero fueron bloqueados debido a las políticas del protocolo.

zkLend ahora ha enviado un mensaje al hacker indicando que, si devuelve el 90% del Ethereum robado, que son 3.300 ETH, puede quedarse con el otro 10% y no enfrentará ninguna responsabilidad por el ataque.

"Entendemos que usted es responsable del ataque de hoy a zkLend. Puede quedarse con el 10% de los fondos como recompensa de sombrero blanco y enviar de vuelta el 90% restante, o 3.300 ETH para ser exactos, a esta dirección de Ethereum: 0xCf31e1b97790afD681723fA1398c5eAd9f69B98C", se lee en un mensaje en cadena al hacker.

"Al recibir la transferencia, aceptamos liberarlos de toda responsabilidad con respecto al ataque".



"En esta etapa, estamos trabajando con empresas de seguridad y las fuerzas del orden. Si no tenemos noticias suyas antes de las 00:00 UTC del 14 de febrero de 2025, procederemos con los siguientes pasos para rastrearlo y procesarlo".

Los ladrones de criptomonedas tienen hasta el 13 de febrero, a las 19:00 EST, para devolver el 90 % de los fondos robados, después de lo cual zkLend emprenderá acciones legales.

No ha habido ninguna respuesta por parte del hacker, como suele suceder en estas situaciones. No se ha atribuido ningún actor de amenazas al ataque.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario