黑客利用智能合约漏洞盗取价值950万美元以太币

去中心化借贷协议 zkLend 在 2025 年 2 月 12 日遭遇了一起严重的黑客攻击事件，损失了约 3,600 枚以太坊（当时价值约 950 万美元）。zkLend 是基于 Starknet 网络构建的去中心化货币市场协议，允许用户存入、借贷和借出各种资产。

攻击细节

此次攻击的核心原因是 zkLend 的智能合约中存在漏洞。攻击者利用了合约中的 safeMath 库在进行除法计算时的舍入错误漏洞，通过闪电贷机制操控了累加器的值，从而在提款时获得超出预期的资产。具体来说，攻击者通过多次闪电贷操作，将累加器的值放大到一个非常大的数值，进而利用舍入漏洞在提款时获得额外的资产。

资金流向与追回

攻击发生后，被盗资金被跨链转移至以太坊网络，并试图通过隐私协议 Railgun 进行洗钱。然而，由于 Railgun 协议的政策限制，部分资金被强制返还至原地址。

zkLend 的应对措施

zkLend 团队在攻击发生后迅速采取行动，向黑客发出通牒，要求其在 2025 年 2 月 14 日 0 时（UTC）之前归还 90% 的被盗资金（即 3,300 枚 ETH）。作为交换，黑客可以保留 10% 的资金作为“白帽赏金”，并且 zkLend 将免除其在此次攻击中的所有法律责任。然而，截止日期过后，黑客并未回应，zkLend 团队已向香港警方、FBI 和国土安全部提交事件报告，并启动了调查。

后续计划

由于黑客未在截止日期前与 zkLend 团队取得联系，zkLend 将于下周公布资金追回和用户补偿计划。团队还计划发布详细的事后分析报告，以确保事件的透明度。

相关风险提示

此次事件再次凸显了 DeFi 协议中存在的安全漏洞问题。尽管智能合约审计和安全实践不断进步，但 DeFi 领域的安全事件仍频发。用户在参与 DeFi 平台时需要更加谨慎，充分了解相关风险，并确保自身资产安全。