zkLend 作为 StarkNet 生态中的借贷协议,采用了 zk-rollup 技术,承诺提供更高效、更安全的借贷服务。然而,2 月 12 日,该协议遭遇严重攻击,导致 490 万美元资产被盗。本次事件的发生,暴露了 DeFi 赛道依然存在的核心安全风险。
1. 攻击路径解析根据 Cyvers Alerts 的监测,攻击者利用 zkLend 智能合约中的漏洞,成功提取了大量资金,并立即将其跨链转移至以太坊,随后尝试通过隐私协议 Railgun 进行混币,以此隐藏资金流向。然而,由于 Railgun 协议内部的政策限制,这些资金最终被强制返还至原始地址,这一幕无疑成为了 DeFi 历史上罕见的“黑客无法成功洗钱”的案例。
2. zkLend 的应对措施在事件发生后,zkLend 迅速采取了以下应对行动:
- 暂停提款:防止攻击进一步扩散,保护剩余资金安全。
- 公告声明:向社区说明事件情况,并尝试与黑客交涉。
- 提出白帽赏金方案:允许黑客保留 10%(490,000 美元) 作为“白帽奖励”,并归还剩余的 3,300 枚 ETH。zkLend 承诺在资金归还后不再追究黑客的法律责任。
- 黑名单机制:Railgun 维护一个内部“可疑资金黑名单”,如果某些资金被标记为来自非法来源(如攻击、黑客盗取、制裁名单地址等),Railgun 有能力对这笔资金进行拦截或回溯追踪。
- 地址过滤系统:Railgun 依赖多个链上安全分析工具(如 Cyvers、Chainalysis、SlowMist 监测数据),如果某笔交易的来源涉及已知的黑客地址或非法资金,则会触发限制机制,阻止资金继续匿名流通。
- 协议内部政策:强制返还或冻结资金
- 在 zkLend 事件中,攻击者试图使用 Railgun 进行混币,但系统检测到资金来源涉及 StarkNet 近期的黑客攻击事件,因此 Railgun 拦截了交易,并将资金自动返还至原始地址。
- 这一举措标志着 Railgun 开始在隐私保护与合规性之间寻求更平衡的策略。
- 防止“大额瞬时混币”:Railgun 内部设定了一些资金清洗模式的检测规则,如:
- 短时间内大额资金入池、出池的账户会触发监控。
- 资金在进入 Railgun 前是否经过已知的混币器(如 Tornado Cash),如果有,则可能被阻断。
- 合约安全验证严重缺失,导致攻击者可以轻松操纵价格。
- 攻击者无需正面攻击智能合约,仅通过市场操纵即可获利。
- 待发射池子的流动性被黑客逐步耗尽,最终攻击者携带 BNB 离场。
- 某知名 DeFi 保险协议因预言机价格更新延迟,导致黑客利用套利漏洞,获利 120 万美元。
- 一个 NFT 质押借贷平台因智能合约授权问题,被黑客窃取 800 万美元的 NFT 资产。
- 某 Layer 2 网络上的稳定币协议遭遇重入攻击,损失 600 万美元。
- AVG Free
- Bitdefender
- Kaspersky
- Malwarebytes
- CertiK
- SlowMist(慢雾)
- Trail of Bits
- OpenZeppelin
- 先用小额资金测试,确保提取功能正常。
- 不要把所有资产放在同一个地址或同一个协议中,分散风险。
