zkLend被盗490万美元,黑客竟被强制退款?

marsbitDipublikasikan tanggal 2025-02-11Terakhir diperbarui pada 2025-02-12

2025 年刚刚开年,DeFi 赛道便接连发生安全漏洞事件,黑客攻击、智能合约漏洞、价格操纵等问题频发,让整个市场对 Web3 的安全性再次产生深思。就在今天,StarkNet 上的借贷协议 zkLend 遭遇攻击,损失 490 万美元,攻击者试图通过 Railgun 进行混币操作,最终因协议限制被强制返还。同时,其他 DeFi 协议也接连爆雷,Fourmeme 由于安全验证缺失,使得攻击者可操纵价格,逐步耗尽流动性池,类似的事件层出不穷,安全问题成为 DeFi 生态的一大顽疾。

在这一系列事件背后,我们不仅需要梳理攻击的前因后果,更要深入思考:DeFi 协议安全为何屡屡被攻破?用户又该如何在黑客环伺的区块链世界中保护自己的资产?

一、zkLend 攻击事件的完整复盘


黑客


zkLend 作为 StarkNet 生态中的借贷协议,采用了 zk-rollup 技术,承诺提供更高效、更安全的借贷服务。然而,2 月 12 日,该协议遭遇严重攻击,导致 490 万美元资产被盗。本次事件的发生,暴露了 DeFi 赛道依然存在的核心安全风险。

1. 攻击路径解析

根据 Cyvers Alerts 的监测,攻击者利用 zkLend 智能合约中的漏洞,成功提取了大量资金,并立即将其跨链转移至以太坊,随后尝试通过隐私协议 Railgun 进行混币,以此隐藏资金流向。然而,由于 Railgun 协议内部的政策限制,这些资金最终被强制返还至原始地址,这一幕无疑成为了 DeFi 历史上罕见的“黑客无法成功洗钱”的案例。

2. zkLend 的应对措施

在事件发生后,zkLend 迅速采取了以下应对行动:

  • 暂停提款:防止攻击进一步扩散,保护剩余资金安全。
  • 公告声明:向社区说明事件情况,并尝试与黑客交涉。

黑客

  • 提出白帽赏金方案:允许黑客保留 10%(490,000 美元) 作为“白帽奖励”,并归还剩余的 3,300 枚 ETH。zkLend 承诺在资金归还后不再追究黑客的法律责任。

3.Railgun 的政策限制:如何阻止黑客清洗资金?

Railgun 是一个基于零知识证明(zk-SNARKs)的隐私交易协议,旨在为以太坊及 EVM 兼容链提供更高层级的匿名交易能力。它允许用户在链上进行隐私交易,而不暴露交易来源和资金流向,因此成为许多用户(甚至是机构)保护隐私的工具。

然而,Railgun 并非一个完全无管制的黑箱系统,而是有一套内部合规机制和风险控制策略,此次 zkLend 事件中的**“强制退款”**,正是这一机制发挥作用的典型案例。

Railgun 的核心政策限制包括以下几个方面:

  1. 黑名单机制:Railgun 维护一个内部**“可疑资金黑名单”,如果某些资金被标记为来自非法来源(如攻击、黑客盗取、制裁名单地址等),Railgun 有能力对这笔资金进行拦截或回溯追踪**。
  2. 地址过滤系统:Railgun 依赖多个链上安全分析工具(如 Cyvers、Chainalysis、SlowMist 监测数据),如果某笔交易的来源涉及已知的黑客地址或非法资金,则会触发限制机制,阻止资金继续匿名流通。
  3. 协议内部政策:强制返还或冻结资金
  • 在 zkLend 事件中,攻击者试图使用 Railgun 进行混币,但系统检测到资金来源涉及 StarkNet 近期的黑客攻击事件,因此 Railgun 拦截了交易,并将资金自动返还至原始地址。
  • 这一举措标志着 Railgun 开始在隐私保护与合规性之间寻求更平衡的策略。
  1. 防止“大额瞬时混币”:Railgun 内部设定了一些资金清洗模式的检测规则,如:
  • 短时间内大额资金入池、出池的账户会触发监控。
  • 资金在进入 Railgun 前是否经过已知的混币器(如 Tornado Cash),如果有,则可能被阻断。


二、近期 DeFi 安全事件盘点:Fourmeme 事件解析

zkLend 并不是近期唯一遭遇攻击的 DeFi 协议。实际上,整个 DeFi 赛道在 2025 年初已经经历了多起严重的安全漏洞事件,其中最受关注的便是 Fourmeme 事件

Fourmeme 事件是一个经典的 “价格操纵+流动性耗尽” 的案例,其核心问题在于:

  • 合约安全验证严重缺失,导致攻击者可以轻松操纵价格。
  • 攻击者无需正面攻击智能合约,仅通过市场操纵即可获利
  • 待发射池子的流动性被黑客逐步耗尽,最终攻击者携带 BNB 离场

简单来说,黑客发现了 Fourmeme 协议中的一个漏洞,可以用极低的成本操纵市场价格,并利用这一优势反复交易,从流动性池中提取资金,最终将池子里的资产全部榨干。这类漏洞的出现,往往是因为项目方在安全审核上存在严重缺陷,未能识别潜在的攻击向量

除了 zkLend 和 Fourmeme 事件,以下是 2025 年初的其他 DeFi 攻击案例:

  • 某知名 DeFi 保险协议因预言机价格更新延迟,导致黑客利用套利漏洞,获利 120 万美元。
  • 一个 NFT 质押借贷平台因智能合约授权问题,被黑客窃取 800 万美元的 NFT 资产。
  • 某 Layer 2 网络上的稳定币协议遭遇重入攻击,损失 600 万美元。

这些事件无一例外地表明,DeFi 生态的安全问题依然严重,攻击者的策略越来越精细化,智能合约的漏洞仍然是最主要的攻击目标


三、普通用户该如何保护自己的资产?

面对黑客频繁攻击 DeFi 协议,普通用户应该如何避免成为下一个受害者?以下是几条关键的安全建议。

1. 务必安装杀毒软件

无论你是谁,第一时间在电脑上安装杀毒软件!推荐国际知名的安全软件:

  • AVG Free
  • Bitdefender
  • Kaspersky
  • Malwarebytes

为什么?因为你的设备很可能已经被感染了木马病毒,黑客可以直接窃取你的钱包私钥,远比智能合约漏洞更致命!

2. 谨慎参与高收益 DeFi 项目

任何 DeFi 协议,年化收益率超 100% 的,基本都有风险,很多项目没有经过足够的安全审核,很可能是“即将被黑客攻击”的目标。

3. 关注项目的安全审计

千万别只看“是否有审计”,而是要看“谁做的审计”。目前,可信赖的审计机构包括:

  • CertiK
  • SlowMist(慢雾)
  • Trail of Bits
  • OpenZeppelin

如果一个 DeFi 项目没有经过这些机构的审计,或者审计报告存在大量漏洞未修复,建议避而远之。

4. 使用硬件钱包,避免在线签名

目前,黑客攻击私钥的方式越来越多,强烈建议使用硬件钱包(Ledger、Trezor 等)进行资产存储,避免私钥泄露。同时,在交互 DeFi 项目时,不要随意点击陌生链接,也不要轻易进行在线签名操作。

5. 小额测试,分散存储

在与 DeFi 协议交互之前,建议:

  • 先用小额资金测试,确保提取功能正常
  • 不要把所有资产放在同一个地址或同一个协议中,分散风险

结语:DeFi 安全,任重道远

zkLend、Fourmeme 等一系列安全事件再次提醒我们,DeFi 依然是一个风险极高的领域,即便是成熟的项目,也可能存在漏洞。对于普通用户而言,安全第一,不要贪图高收益,而忽略风险管理

在这个“黑客与安全团队”持续对抗的加密世界里,我们唯一能做的,就是时刻保持警惕,做好个人安全防护,避免成为攻击链条上的下一个牺牲品

Bacaan Terkait

Pendiri Baixing.com: Saya Percaya Setengah pada Pernyataan "Model Bahasa Besar Melahap Segalanya"

Pendiri 58 Tongcheng (situs rakyat): Saya Percaya Setengah dengan Pernyataan "Model Bahasa Besar Menelan Segalanya". Banyak orang berbicara tentang "model besar adalah segalanya", tetapi penulis tidak sepenuhnya percaya. Pernyataan "menelan segalanya" sering kali muncul karena pemahaman terbatas tentang masa depan. Internet pun disebutkan akan menelan segalanya, namun kenyataannya tidak. Penulis lebih setuju melihat model bahasa besar sebagai fondasi penting, seperti jaringan tulang punggung internet atau pembangkit listrik. Tanpa fondasi ini, dunia tidak bisa berkembang. Namun, setelah fondasi terbentuk, hal yang menarik justru terjadi di atasnya. Seperti listrik: setelah ditemukan, aplikasi pertamanya adalah bola lampu. Tapi kemudian muncul berbagai peralatan seperti mesin cuci, TV, dan penyedot debu. Listrik adalah dasar, tetapi peralatan spesifik itulah yang benar-benar mengubah dunia. Demikian pula, model bahasa besar menyediakan kecerdasan dasar, tetapi kecerdasan ini harus dimasukkan ke dalam "mesin" atau "alat" yang ditujukan untuk skenario spesifik agar dapat berfungsi dan mengubah dunia. Claude Code untuk menulis kode, Claude Design untuk desain, VoiceDrop untuk menulis artikel — meski menggunakan model dasar yang sama, mereka menyelesaikan masalah yang berbeda. Hanya memiliki listrik atau air tidak cukup untuk mencuci pakaian tanpa mesin cuci. Kecerdasan itu bagus, tetapi sebagian besar hal di dunia memerlukan kombinasi berbagai elemen untuk bekerja. Model bahasa besar mungkin bisa menggantikan banyak hal di bidang perangkat lunak, tetapi tidak banyak skenario yang hanya membutuhkan satu elemen. Saat ini, selain model besar, diperlukan lapisan seperti "Harness" untuk menghubungkannya dengan kode dan membentuk sesuatu yang benar-benar bisa digunakan. Lapisan antarmuka ini membantu memasukkan kecerdasan, seperti listrik atau air, ke dalam aplikasi spesifik, mengubahnya menjadi mesin yang memecahkan masalah konkret. Penulis mengakui bahwa ada logika tertentu di balik "menelan segalanya", terutama terkait perangkat lunak yang ada saat ini. Banyak perangkat lunak, seperti CRM, sistem informasi rumah sakit (HIS), dan berbagai sistem lainnya, dibangun dari aturan, formulir, alur kerja yang tetap. Lapisan ini memang mungkin banyak "ditelan" oleh model bahasa besar karena terdiri dari instruksi jelas yang dapat dieksekusi komputer — sesuatu yang sangat dikuasai model bahasa besar. Namun, di lapisan ini, selain perangkat lunak, ada banyak hal lain: informasi pelanggan, kemampuan eksekusi (seperti memesan tiket pesawat), kepercayaan, dan banyak hal di dunia fisik. Ini tidak akan ditelan. Setelah "menelan" lapisan perangkat lunak lama, justru terbuka ruang yang lebih besar untuk perangkat lunak baru di atasnya. Perangkat lunak baru kemungkinan akan memiliki antarmuka yang lebih "mengalir", tidak terlalu kaku dengan aturan. Jika bagian aturan diserahkan kepada AI, seperti yang dilakukan Salesforce dengan CRM-nya, maka imajinasi dan kemungkinan baru akan terbuka — bagian yang saat ini belum kita lihat. Kesalahan umum adalah, ketika teknologi baru datang, karena kita belum melihat jalan yang lebih besar di depannya, kita hanya fokus pada apa yang ada di depan mata. Penulis mengingatkan bahwa pada 2004, banyak yang mengira internet hampir berakhir dan perusahaan seperti Sina, Sohu, NetEase akan memonopoli segalanya. Beberapa tahun kemudian, segalanya berubah drastis. Kesimpulannya, model besar itu penting — ia adalah fondasi dan titik fokus utama saat ini. Namun, begitu menjadi sesuatu yang stabil dan dapat disediakan secara berkelanjutan, dibutuhkan berbagai "mesin" dan "alat" di atasnya untuk memecahkan masalah spesifik. Lapisan tebal itulah — di mana dan bagaimana ia digunakan — yang akan menjadi arus utama gelombang kedua. "Menelan segalanya" adalah istilah yang tidak tepat. Yang penting adalah menemukan peluang di area yang "ditelan"nya.

marsbit1j yang lalu

Pendiri Baixing.com: Saya Percaya Setengah pada Pernyataan "Model Bahasa Besar Melahap Segalanya"

marsbit1j yang lalu

Akankah Klaim BTC Satoshi Noah Doe ‘Mengganggu Seluruh Industri’? Para Tergugat Menyatakan…

Setelah empat belas tahun, Bitcoin dari era Satoshi kembali menjadi pusat gugatan hukum. Pada 6 Juli, amicus brief kedua diajukan untuk menentang upaya "Noah Doe" mengklaim kepemilikan atas koin Satoshi sebagai "properti terlantar." Tiga penggugat dengan nama samaran—Noah Doe, ABC Company, dan XYZ Company—berusaha memperoleh kepemilikan hukum atas 39.069 dompet Bitcoin yang tidak aktif. Mereka mengklaim telah memberi pemberitahuan lewat fungsi OP_RETURN Bitcoin, memberi pemilik dompet 90 hari untuk menanggapi. Setelah periode itu, sekitar 2.900 dompet dihapus, menyisakan 39.069 yang mereka anggap terlantar. Namun, para tergugat menentang gugatan ini. Mereka menekankan bahwa penggugat tidak memiliki kunci privat untuk mengakses Bitcoin dan tidak punya bukti bahwa pemilik dompet melihat pemberitahuan tersebut. Hanya mengandalkan ketidakaktifan dompet sebagai bukti penelantaran dinilai berbahaya, karena banyak investor sengaja menyimpan Bitcoin tanpa bergerak selama bertahun-tahun. Mereka memperingatkan bahwa mengabulkan tuntutan penggugat akan mengganggu seluruh industri dan hak properti digital. Argumen ini diperkuat oleh aktivitas baru-baru ini di dompet Satoshi dengan alamat *1LwWtSs7tMCwcRczQd5kVMv3xpWw6w4Sxe*, yang baru saja memindahkan 15 BTC. Dompet ini termasuk dalam daftar tergugat. Para ahli seperti Alex Thorn menegaskan bahwa kepemilikan Bitcoin bergantung pada kontrol kunci privat, bukan riwayat transaksi, sehingga ketidakaktifan dompet tidak membuktikan penelantaran. Singkatnya, penggugat berusaha mendapatkan kendali hukum atas dompet yang dianggap terlantar, sementara tergugat menolak dengan alasan klaim tersebut lemah dan berpotensi merusak hak properti digital.

ambcrypto2j yang lalu

Akankah Klaim BTC Satoshi Noah Doe ‘Mengganggu Seluruh Industri’? Para Tergugat Menyatakan…

ambcrypto2j yang lalu

Trading

Spot
活动图片