zkLend, một giao thức cho vay phi tập trung, vừa bị tấn công trên mạng Starknet, gây thiệt hại gần 5 triệu USD. Giao thức này đã đưa ra lời đề nghị hấp dẫn nhằm lấy lại phần lớn số tiền bị đánh cắp.
zkLend, một nền tảng cho vay tiền phi tập trung (DeFi), đã trở thành nạn nhân của một vụ khai thác lỗ hổng bảo mật nghiêm trọng trên mạng Starknet vào ngày 12 tháng 2 năm 2025. Theo thông tin từ Cyvers, một công ty an ninh blockchain, tổng thiệt hại lên tới 4,9 triệu USD.
Vụ tấn công và cách hacker rửa tiền
Theo báo cáo từ Cyvers, sau khi chiếm đoạt số tiền, hacker đã chuyển chúng qua cầu nối sang Ethereum và sử dụng hệ thống Railgun để rửa tiền. Tuy nhiên, do chính sách của Railgun, số tiền đã bị trả về địa chỉ gốc. “Dù vậy, điều này không đồng nghĩa với việc hacker hoàn toàn thất bại,” các chuyên gia nhận định.
Ngay sau vụ việc, zkLend đã đưa ra lời đề nghị dành cho kẻ tấn công. Giao thức này cam kết sẽ không truy cứu trách nhiệm pháp lý nếu hacker trả lại 90% số tiền bị đánh cắp. Phần còn lại, tương đương 10%, sẽ được coi là tiền thưởng “whitehat” – thuật ngữ chỉ hành động đạo đức của hacker khi trả lại tài sản.
🚨ALERT🚨@zkLend has suffered a $9.5M exploit on the Starknet network. Stolen funds were bridged to #Ethereum and laundered via #Railgun, but due to protocol policies, the funds were returned to the original address by #Railgun!
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) February 12, 2025
Deposit to #Railgun:… https://t.co/0muIH2TArY
Lời đề nghị cụ thể từ zkLend
Trong thông báo gửi đến hacker, zkLend viết: “Chúng tôi hiểu rằng bạn là người chịu trách nhiệm cho vụ tấn công hôm nay. Bạn có thể giữ lại 10% số tiền như một khoản tiền thưởng whitehat và gửi trả lại 90% còn lại, tương đương 3.300 ETH.”
Tuy nhiên, zkLend cũng cảnh báo rằng nếu không nhận được phản hồi trước 0 giờ UTC ngày 14 tháng 2 năm 2025, họ sẽ phối hợp với các công ty an ninh và cơ quan thực thi pháp luật để truy vết và xử lý kẻ tấn công.
To the hacker:
— zkLend (@zkLend) February 12, 2025
We understand that you are responsible for today’s attack on zkLend. You may keep 10% of the funds as a whitehat bounty, and send back the remaining 90%, or 3,300 ETH to be exact, to this Ethereum address: 0xCf31e1b97790afD681723fA1398c5eAd9f69B98C.
Upon… pic.twitter.com/piEVPDHZd4
Bối cảnh của các vụ hack tiền điện tử
Vụ tấn công này diễn ra trong bối cảnh các vụ hack tiền điện tử đang có dấu hiệu tăng trở lại sau một thời gian lắng dịu vào tháng 1 năm 2025. Mặc dù số lượng vụ tấn công giảm 44% so với cùng kỳ năm ngoái, nhưng tổng giá trị bị đánh cắp trong tháng đầu năm vẫn vượt mức 73 triệu USD.
Các chuyên gia bảo mật lo ngại rằng năm 2025 có thể chứng kiến một loạt các vụ tấn công với quy mô lớn hơn. Năm 2024, tổng thiệt hại từ các vụ hack tiền điện tử đạt 2,3 tỷ USD qua 165 sự cố, tăng 40% so với năm 2023 (1,69 tỷ USD).
Vụ tấn công vào zkLend không chỉ làm dấy lên mối lo ngại về tính bảo mật của các giao thức DeFi mà còn đặt ra câu hỏi về trách nhiệm của các nhà phát triển trong việc xây dựng hệ thống an toàn. Các chuyên gia nhấn mạnh rằng việc cải thiện bảo mật cần được ưu tiên hàng đầu để tránh những tổn thất lớn trong tương lai.