Le prêteur d’argent décentralisé zkLend a subi une violation où des acteurs de la menace ont exploité une faille de contrat intelligent pour voler 3 600 Ethereum, d’une valeur de 9,5 millions de dollars à l’époque.
zkLend est un protocole de marché monétaire décentralisé basé sur Starknet, une solution de mise à l’échelle de couche 2 pour Ethereum. Il permet aux utilisateurs de déposer, d’emprunter et de prêter divers actifs.
L’attaque a eu lieu hier après-midi, avec Zklend avertissant sur X qu’ils souffraient d’un incident de cybersécurité.
Selon le canal EthSecurity Telegram, les acteurs de la menace ont exploité un bogue d’erreur d’arrondi dans la fonction smart contract mint () de zkLend.
« L’attaquant a manipulé le « lending_accumulator » pour qu’il soit très volumineux à 4,069297906051644020, puis a profité de l’erreur d’arrondi lors de ztoken mint() et withdraw() pour déposer à plusieurs reprises 4,069297906051644021 wstETH obtenant 2 wei puis retirer 4,069297906051644020*1,5 -1 = 6.103946859077466029 Veut dépenser seulement 1 wei », lit un message sur le canal EthSecurity.
Starkware, qui a développé le réseau Starknet, a confirmé que la vulnérabilité ne faisait pas partie de la technologie Starknet mais plutôt d’un bogue spécifique à l’application.
Selon Cyvers, les acteurs de la menace ont tenté de blanchir la crypto via le protocole de confidentialité RailGun, mais ont été bloqués en raison de politiques de protocole.
zkLend a maintenant envoyé un message au pirate indiquant que s’il restitue 90% de l’Ethereum volé, soit 3 300 ETH, il peut conserver les 10% restants et ne sera tenu pour responsable de l’attaque.
« Nous comprenons que vous êtes responsable de l’attaque d’aujourd’hui sur zkLend. Vous pouvez conserver 10% des fonds sous forme de prime whitehat et renvoyer les 90% restants, soit 3 300 ETH pour être exact, à cette adresse Ethereum: 0xCf31e1b97790afD681723fA1398c5eAd9f69B98C », lit un message en chaîne au pirate informatique.
« Dès réception du transfert, nous acceptons de nous dégager de toute responsabilité concernant l’attaque. »
« Nous travaillons avec des entreprises de sécurité et des forces de l’ordre à ce stade. Si nous n’avons pas de vos nouvelles d’ici le 14 février 2025 à 00h00 UTC, nous passerons aux prochaines étapes pour vous retrouver et vous poursuivre. »
Les voleurs de crypto ont jusqu’au 13 février, à 19h00 HNE, pour restituer 90% des fonds volés, après quoi zkLend intentera une action en justice.
Il n’y a eu aucune réponse du pirate informatique, ce qui est généralement le cas dans ces situations. Aucun acteur menaçant n’a été attribué à l’attaque.