zkLend被盗490万美元,黑客竟被强制退款?

marsbitPublié le 2025-02-11Dernière mise à jour le 2025-02-12

2025 年刚刚开年,DeFi 赛道便接连发生安全漏洞事件,黑客攻击、智能合约漏洞、价格操纵等问题频发,让整个市场对 Web3 的安全性再次产生深思。就在今天,StarkNet 上的借贷协议 zkLend 遭遇攻击,损失 490 万美元,攻击者试图通过 Railgun 进行混币操作,最终因协议限制被强制返还。同时,其他 DeFi 协议也接连爆雷,Fourmeme 由于安全验证缺失,使得攻击者可操纵价格,逐步耗尽流动性池,类似的事件层出不穷,安全问题成为 DeFi 生态的一大顽疾。

在这一系列事件背后,我们不仅需要梳理攻击的前因后果,更要深入思考:DeFi 协议安全为何屡屡被攻破?用户又该如何在黑客环伺的区块链世界中保护自己的资产?

一、zkLend 攻击事件的完整复盘


黑客


zkLend 作为 StarkNet 生态中的借贷协议,采用了 zk-rollup 技术,承诺提供更高效、更安全的借贷服务。然而,2 月 12 日,该协议遭遇严重攻击,导致 490 万美元资产被盗。本次事件的发生,暴露了 DeFi 赛道依然存在的核心安全风险。

1. 攻击路径解析

根据 Cyvers Alerts 的监测,攻击者利用 zkLend 智能合约中的漏洞,成功提取了大量资金,并立即将其跨链转移至以太坊,随后尝试通过隐私协议 Railgun 进行混币,以此隐藏资金流向。然而,由于 Railgun 协议内部的政策限制,这些资金最终被强制返还至原始地址,这一幕无疑成为了 DeFi 历史上罕见的“黑客无法成功洗钱”的案例。

2. zkLend 的应对措施

在事件发生后,zkLend 迅速采取了以下应对行动:

  • 暂停提款:防止攻击进一步扩散,保护剩余资金安全。
  • 公告声明:向社区说明事件情况,并尝试与黑客交涉。

黑客

  • 提出白帽赏金方案:允许黑客保留 10%(490,000 美元) 作为“白帽奖励”,并归还剩余的 3,300 枚 ETH。zkLend 承诺在资金归还后不再追究黑客的法律责任。

3.Railgun 的政策限制:如何阻止黑客清洗资金?

Railgun 是一个基于零知识证明(zk-SNARKs)的隐私交易协议,旨在为以太坊及 EVM 兼容链提供更高层级的匿名交易能力。它允许用户在链上进行隐私交易,而不暴露交易来源和资金流向,因此成为许多用户(甚至是机构)保护隐私的工具。

然而,Railgun 并非一个完全无管制的黑箱系统,而是有一套内部合规机制和风险控制策略,此次 zkLend 事件中的**“强制退款”**,正是这一机制发挥作用的典型案例。

Railgun 的核心政策限制包括以下几个方面:

  1. 黑名单机制:Railgun 维护一个内部**“可疑资金黑名单”,如果某些资金被标记为来自非法来源(如攻击、黑客盗取、制裁名单地址等),Railgun 有能力对这笔资金进行拦截或回溯追踪**。
  2. 地址过滤系统:Railgun 依赖多个链上安全分析工具(如 Cyvers、Chainalysis、SlowMist 监测数据),如果某笔交易的来源涉及已知的黑客地址或非法资金,则会触发限制机制,阻止资金继续匿名流通。
  3. 协议内部政策:强制返还或冻结资金
  • 在 zkLend 事件中,攻击者试图使用 Railgun 进行混币,但系统检测到资金来源涉及 StarkNet 近期的黑客攻击事件,因此 Railgun 拦截了交易,并将资金自动返还至原始地址。
  • 这一举措标志着 Railgun 开始在隐私保护与合规性之间寻求更平衡的策略。
  1. 防止“大额瞬时混币”:Railgun 内部设定了一些资金清洗模式的检测规则,如:
  • 短时间内大额资金入池、出池的账户会触发监控。
  • 资金在进入 Railgun 前是否经过已知的混币器(如 Tornado Cash),如果有,则可能被阻断。


二、近期 DeFi 安全事件盘点:Fourmeme 事件解析

zkLend 并不是近期唯一遭遇攻击的 DeFi 协议。实际上,整个 DeFi 赛道在 2025 年初已经经历了多起严重的安全漏洞事件,其中最受关注的便是 Fourmeme 事件

Fourmeme 事件是一个经典的 “价格操纵+流动性耗尽” 的案例,其核心问题在于:

  • 合约安全验证严重缺失,导致攻击者可以轻松操纵价格。
  • 攻击者无需正面攻击智能合约,仅通过市场操纵即可获利
  • 待发射池子的流动性被黑客逐步耗尽,最终攻击者携带 BNB 离场

简单来说,黑客发现了 Fourmeme 协议中的一个漏洞,可以用极低的成本操纵市场价格,并利用这一优势反复交易,从流动性池中提取资金,最终将池子里的资产全部榨干。这类漏洞的出现,往往是因为项目方在安全审核上存在严重缺陷,未能识别潜在的攻击向量

除了 zkLend 和 Fourmeme 事件,以下是 2025 年初的其他 DeFi 攻击案例:

  • 某知名 DeFi 保险协议因预言机价格更新延迟,导致黑客利用套利漏洞,获利 120 万美元。
  • 一个 NFT 质押借贷平台因智能合约授权问题,被黑客窃取 800 万美元的 NFT 资产。
  • 某 Layer 2 网络上的稳定币协议遭遇重入攻击,损失 600 万美元。

这些事件无一例外地表明,DeFi 生态的安全问题依然严重,攻击者的策略越来越精细化,智能合约的漏洞仍然是最主要的攻击目标


三、普通用户该如何保护自己的资产?

面对黑客频繁攻击 DeFi 协议,普通用户应该如何避免成为下一个受害者?以下是几条关键的安全建议。

1. 务必安装杀毒软件

无论你是谁,第一时间在电脑上安装杀毒软件!推荐国际知名的安全软件:

  • AVG Free
  • Bitdefender
  • Kaspersky
  • Malwarebytes

为什么?因为你的设备很可能已经被感染了木马病毒,黑客可以直接窃取你的钱包私钥,远比智能合约漏洞更致命!

2. 谨慎参与高收益 DeFi 项目

任何 DeFi 协议,年化收益率超 100% 的,基本都有风险,很多项目没有经过足够的安全审核,很可能是“即将被黑客攻击”的目标。

3. 关注项目的安全审计

千万别只看“是否有审计”,而是要看“谁做的审计”。目前,可信赖的审计机构包括:

  • CertiK
  • SlowMist(慢雾)
  • Trail of Bits
  • OpenZeppelin

如果一个 DeFi 项目没有经过这些机构的审计,或者审计报告存在大量漏洞未修复,建议避而远之。

4. 使用硬件钱包,避免在线签名

目前,黑客攻击私钥的方式越来越多,强烈建议使用硬件钱包(Ledger、Trezor 等)进行资产存储,避免私钥泄露。同时,在交互 DeFi 项目时,不要随意点击陌生链接,也不要轻易进行在线签名操作。

5. 小额测试,分散存储

在与 DeFi 协议交互之前,建议:

  • 先用小额资金测试,确保提取功能正常
  • 不要把所有资产放在同一个地址或同一个协议中,分散风险

结语:DeFi 安全,任重道远

zkLend、Fourmeme 等一系列安全事件再次提醒我们,DeFi 依然是一个风险极高的领域,即便是成熟的项目,也可能存在漏洞。对于普通用户而言,安全第一,不要贪图高收益,而忽略风险管理

在这个“黑客与安全团队”持续对抗的加密世界里,我们唯一能做的,就是时刻保持警惕,做好个人安全防护,避免成为攻击链条上的下一个牺牲品

Lectures associées

Fondateur de Baixing : Je ne crois qu'à moitié à l'affirmation selon laquelle les grands modèles de langage vont tout avaler

Le fondateur de Baixing Wang affirme qu'il ne croit qu'à moitié à l'idée que « les grands modèles de langage vont tout engloutir ». Selon lui, comparer les grands modèles de langage à l'électricité est plus approprié : ils constituent une base fondamentale et essentielle, semblable à une centrale électrique. Sans cette base, le développement mondial serait impossible. Cependant, ce qui compte vraiment, ce sont les applications concrètes construites sur cette base — les divers « appareils » et « machines » qui résolvent des problèmes spécifiques, comme une machine à laver a besoin d'électricité et d'eau pour fonctionner. Il reconnaît que les grands modèles de langage pourront remplacer de nombreux logiciels traditionnels, en particulier ceux basés sur des règles et des flux de travail fixes (comme les CRM, les systèmes d'information hospitalière). En revanche, de nombreux autres éléments — les informations clients, les capacités d'exécution dans le monde physique, la confiance — ne seront pas « engloutis ». La disparition de certaines couches logicielles ouvrira en fait un espace plus vaste pour de nouveaux types de logiciels, plus fluides et imaginatifs. L'auteur met en garde contre la myopie face aux nouvelles technologies : on a tendance à surestimer l'impact immédiat tout en sous-estimant les possibilités futures bien plus vastes (comme l'illustre l'exemple de l'Internet en 2004). L'essentiel est donc de reconnaître l'importance des grands modèles en tant que socle, tout en se concentrant sur les opportunités qui émergeront dans la couche supérieure des applications concrètes qui les utilisent pour changer le monde.

marsbitIl y a 1 h

Fondateur de Baixing : Je ne crois qu'à moitié à l'affirmation selon laquelle les grands modèles de langage vont tout avaler

marsbitIl y a 1 h

Fondateur de Baixing.com : Le modèle linguistique avalé tout, je n'y crois qu'à moitié

L'auteur, fondateur de Baixing Wang, exprime un scepticisme nuancé face à l'affirmation selon laquelle les grands modèles de langage (LLM) « dévoreront tout ». Il compare cette vision à celle, similaire, qu'on avait de l'internet, et souligne qu'aucune technologie n'absorbe réellement « tout ». Il préfère voir les LLM comme une *infrastructure fondamentale*, comparable à l'électricité ou au réseau internet. Cette infrastructure est essentielle, mais sa valeur se réalise dans les *applications concrètes* construites dessus. L'électricité seule ne lave pas le linge ; il faut un lave-linge. De même, l'intelligence de base d'un LLM doit être intégrée dans des « machines » ou des « appareils » logiciels spécifiques (comme Claude Code pour la programmation) pour résoudre des problèmes réels. Une couche d'interface (comme Harness) est souvent nécessaire pour connecter cette intelligence aux capacités d'exécution. L'auteur « croit à moitié » à l'idée de « dévorer », car il estime que les LLM remplaceront effectivement une grande partie des *logiciels traditionnels* basés sur des règles fixes, des formulaires et des flux de travail rigides (CRM, systèmes hospitaliers, etc.), tâches pour lesquelles ils sont très adaptés. Cependant, ils ne dévoreront pas tout : les données clients, les capacités d'exécution physique (comme réserver un vol), la confiance et les éléments du monde physique resteront hors de leur portée. Plus important, après avoir absorbé cette couche logicielle existante, les LLM *ouvriront un espace bien plus vaste* pour une nouvelle génération de logiciels, plus fluides et moins dépendants de règles prédéfinies. La véritable opportunité réside dans la création de ces nouvelles applications qui résoudront des problèmes concrets en utilisant cette infrastructure intelligente. L'auteur conclut en mettant en garde contre la myopie face aux nouvelles technologies, rappelant qu'en 2004, beaucoup pensaient que l'internet était mature après l'émergence des premiers portails, ignorant l'immense vague d'innovation à venir. L'essentiel n'est pas de savoir si les LLM « dévorent tout », mais d'identifier les opportunités dans les transformations qu'ils rendent possibles.

链捕手Il y a 1 h

Fondateur de Baixing.com : Le modèle linguistique avalé tout, je n'y crois qu'à moitié

链捕手Il y a 1 h

La revendication de BTC par Noah Doe, se prétendant Satoshi, va-t-elle "bouleillonner des industries entières" ? Les défendeurs affirment…

Quatorze ans après, des Bitcoins de l'ère Satoshi sont au cœur d'un procès. Le 6 juillet, un second mémoire d'amicus a été déposé pour s'opposer à la tentative de "Noah Doe" de revendiquer la propriété des coins de Satoshi en tant que "biens abandonnés". Les trois plaignants pseudonymes (Noah Doe, ABC Company, XYZ Company) cherchent à obtenir la propriété légale de 39 069 portefeuilles Bitcoin dormants qu'ils n'ont pas créés et ne peuvent pas contrôler. Ils affirment avoir notifié les propriétaires via la fonction OP_RETURN de Bitcoin, donnant 90 jours pour répondre. Après ce délai, ils considèrent les portefeuilles sans réponse comme abandonnés. Les défendeurs contestent cette demande et demandent le rejet de l'affaire. Ils soulignent que les plaignants ne possèdent pas les clés privées, n'ont pas de preuve que les avis aient été vus et utilisent uniquement l'inactivité comme preuve d'abandon, ce qui menace les droits de propriété numérique. Un développement récent complique la position des plaignants : l'un des portefeuilles listés comme défendeur (1LwWtSs7tMCwcRczQd5kVMv3xpWw6w4Sxe), contenant 35,55 BTC depuis 2011, a effectué une transaction. Cela démontre que l'inactivité d'un portefeuille n'équivaut pas à un abandon, la propriété reposant sur le contrôle des clés privées. Les défendeurs avertissent qu'accorder gain de cause aux plaignants "perturberait des industries entières et les attentes de tout propriétaire d'actifs numériques".

ambcryptoIl y a 2 h

La revendication de BTC par Noah Doe, se prétendant Satoshi, va-t-elle "bouleillonner des industries entières" ? Les défendeurs affirment…

ambcryptoIl y a 2 h

Trading

Spot
活动图片