zkLend, una plataforma descentralizada de préstamos de dinero en la blockchain de Starknet, ha sido víctima de un importante exploit, ya que el hacker ha drenado $9.5 millones de dólares en criptoactivos.

La firma de seguridad blockchain Cyvers confirmó que los fondos robados inicialmente se unieron a Ethereum y se canalizaron a través del protocolo de privacidad Railgun.

Luego, los fondos se redirigieron a la dirección original debido a las políticas internas del protocolo, dijo Cyverse el lunes.

Tras el incidente, zkLend detuvo todos los retiros y aconsejó a los usuarios que se abstuvieran de depositar o pagar los préstamos mientras investigaban el incidente.

https://twitter.com/zkLend/status/1889443044250034614

La violación ha hecho saltar las alarmas en el espacio DeFi, ya que forma parte de las crecientes preocupaciones de seguridad dentro del sector. Los ciberdelincuentes ya han robado más de $110 millones de dólares de proyectos de blockchain este año, según datos de DeFiLlama.

zkLend se puso en contacto con el hacker con un mensaje en la cadena en el que ofrecía una recompensa del 10% por «sombrero blanco» a cambio de la devolución de los fondos restantes, que ascendían a 3,300 ETH (aproximadamente $8.78 millones de dólares).

«Al recibir la transferencia, acordamos liberarnos de toda responsabilidad con respecto al ataque», informó la plataforma.

zkLend estableció una fecha límite estricta del 14 de febrero para que el hacker cumpliera, advirtiendo que se tomarían medidas legales si los fondos no eran devueltos.

https://twitter.com/zkLend/status/1889515118368829559

La plataforma de préstamos dijo que ya están trabajando con las fuerzas del orden y varias empresas de seguridad, incluidas StarkWare, Starknet Foundation, Binance Security, para rastrear los fondos robados y atrapar al pirata informático.

«Este fue uno de los mayores hackeos en Starknet, si no el más grande de los últimos años», dijo Preetam Rao, CEO y cofundador de la firma de seguridad web QuillAudits, a Decrypt. «Es bueno ver que zkLend está siendo transparente en toda la situación, también ofreció una recompensa al hacker».

«La causa raíz del hackeo no parece estar en el sistema de pruebas, sino en la lógica del contrato», dijo Rao, señalando que su equipo está revisando el incidente para evitar problemas similares en otros protocolos.

En declaraciones a Decrypt, Meir Dolev, cofundador y director de tecnología de Cyvers, señaló: «Este incidente pone de manifiesto los riesgos de seguridad en los préstamos DeFi y plantea preocupaciones sobre la seguridad de los protocolos en la infraestructura de rollup de conocimiento cero de Starknet».

A diferencia de los mezcladores de monedas tradicionales como Tornado Cash, que agrupa y redistribuye fondos para ocultar su origen, los piratas informáticos de zkLend utilizaron Railgun, que integra funciones de privacidad directamente en las aplicaciones DeFi, lo que garantiza el anonimato de los usuarios mientras interactúan con la cadena de bloques.

«Estamos comprometidos con la total transparencia y compartiremos un análisis post-mortem completo tan pronto como se complete», tuiteó el equipo, instando a los usuarios a ser pacientes mientras trabajan en el incidente.

En la Web3 Summit 2024, el fundador de ImmuneFi, Mitchell Amador, compartió sus pensamientos con Decrypt, calificando el hackeo de DeFi como «un negocio infinitamente sostenible y viable». Pero añadió que el espacio de las criptomonedas se está volviendo «incuestionablemente» más seguro.

Los hackers de DeFi, dijo, estaban «buscando más daño, más que nunca, y sus habilidades también son aplicables en una serie de áreas diferentes».

Pagina Original:

DeFi Lending Platform zkLend Drained of $9.5 Million in Exploit