Эксперты SlowMist обнаружили связь атаки на zkLend с нападением на EraLend

Платформа кредитования zkLend, работающая в сети Starknet, подверглась атаке, в результате которой хакеры похитили около $9,5 млн. Согласно расследованию исследователей SlowMist, большая часть средств была выведена в сеть Ethereum и распределена по нескольким адресам. Кроме того, обнаружена связь с атакой на другую DeFi-платформу

Анализ транзакций показал, что значительная часть украденных средств была переведена на адреса: 0xcd1c290198e12c4c1809271e683572fbf977bb63,  0x0b7d061d91018aab823a755020e625ffe8b93074,  0x645c77833833a6654f7edaa977ebeabc680a9109.

Интересно, что один из задействованных кошельков (0x645c) имеет долгую историю операций, начиная с июня 2024 года, и ранее взаимодействовал с Binance (Ethereum, BSC, Base). Кроме того он замечен в связях с сервисами ChangeNOW и HitBTC.

Дополнительный анализ выявил, что на Starknet хакеры использовали адрес 0x04d7191dc8eac499bac710dd368706e3ce76c9945da52535de770d06ce7d3b26, который был связан с L1-кошельками: 0xd95b3c1e638ce3cdc070ad6d4f385c61e2ee8662, 0x93920786e0fda8496248c4447e2e082da69b6c40 и 0x34e5dc779cb705200e951239b6a89aaf5c7dbfc1.

Эксперты MistTrack обнаружили, что 2 последних адреса (0x9392 и 0x34e5) фигурировали в расследовании атаки на платформу EraLend. Это может указывать на то, что за обоими взломами стоят одни и теже киберпреступники.

По данным SlowMist, уязвимость была связана с некорректным использованием библиотеки SafeMath в контракте рынка zkLend. Ошибка в механизме округления при делении привела к возможности манипуляции с количеством токенов, подлежащих сжиганию при выводе средств. Хакеры воспользовались этим недостатком, чтобы вывести избыточные активы. Эксперты советуют временно воздержаться от операций с zkLend, особенно от пополнения депозитов, чтобы избежать возможных потерь. Команда проекта и аналитики продолжают расследование, отслеживая движение украденных средств.

Автор

Петр Иванов