zkLend被盗490万美元,黑客竟被强制退款?

marsbit发布于2025-02-11更新于2025-02-12

2025 年刚刚开年,DeFi 赛道便接连发生安全漏洞事件,黑客攻击、智能合约漏洞、价格操纵等问题频发,让整个市场对 Web3 的安全性再次产生深思。就在今天,StarkNet 上的借贷协议 zkLend 遭遇攻击,损失 490 万美元,攻击者试图通过 Railgun 进行混币操作,最终因协议限制被强制返还。同时,其他 DeFi 协议也接连爆雷,Fourmeme 由于安全验证缺失,使得攻击者可操纵价格,逐步耗尽流动性池,类似的事件层出不穷,安全问题成为 DeFi 生态的一大顽疾。

在这一系列事件背后,我们不仅需要梳理攻击的前因后果,更要深入思考:DeFi 协议安全为何屡屡被攻破?用户又该如何在黑客环伺的区块链世界中保护自己的资产?

一、zkLend 攻击事件的完整复盘


黑客


zkLend 作为 StarkNet 生态中的借贷协议,采用了 zk-rollup 技术,承诺提供更高效、更安全的借贷服务。然而,2 月 12 日,该协议遭遇严重攻击,导致 490 万美元资产被盗。本次事件的发生,暴露了 DeFi 赛道依然存在的核心安全风险。

1. 攻击路径解析

根据 Cyvers Alerts 的监测,攻击者利用 zkLend 智能合约中的漏洞,成功提取了大量资金,并立即将其跨链转移至以太坊,随后尝试通过隐私协议 Railgun 进行混币,以此隐藏资金流向。然而,由于 Railgun 协议内部的政策限制,这些资金最终被强制返还至原始地址,这一幕无疑成为了 DeFi 历史上罕见的“黑客无法成功洗钱”的案例。

2. zkLend 的应对措施

在事件发生后,zkLend 迅速采取了以下应对行动:

  • 暂停提款:防止攻击进一步扩散,保护剩余资金安全。
  • 公告声明:向社区说明事件情况,并尝试与黑客交涉。

黑客

  • 提出白帽赏金方案:允许黑客保留 10%(490,000 美元) 作为“白帽奖励”,并归还剩余的 3,300 枚 ETH。zkLend 承诺在资金归还后不再追究黑客的法律责任。

3.Railgun 的政策限制:如何阻止黑客清洗资金?

Railgun 是一个基于零知识证明(zk-SNARKs)的隐私交易协议,旨在为以太坊及 EVM 兼容链提供更高层级的匿名交易能力。它允许用户在链上进行隐私交易,而不暴露交易来源和资金流向,因此成为许多用户(甚至是机构)保护隐私的工具。

然而,Railgun 并非一个完全无管制的黑箱系统,而是有一套内部合规机制和风险控制策略,此次 zkLend 事件中的**“强制退款”**,正是这一机制发挥作用的典型案例。

Railgun 的核心政策限制包括以下几个方面:

  1. 黑名单机制:Railgun 维护一个内部**“可疑资金黑名单”,如果某些资金被标记为来自非法来源(如攻击、黑客盗取、制裁名单地址等),Railgun 有能力对这笔资金进行拦截或回溯追踪**。
  2. 地址过滤系统:Railgun 依赖多个链上安全分析工具(如 Cyvers、Chainalysis、SlowMist 监测数据),如果某笔交易的来源涉及已知的黑客地址或非法资金,则会触发限制机制,阻止资金继续匿名流通。
  3. 协议内部政策:强制返还或冻结资金
  • 在 zkLend 事件中,攻击者试图使用 Railgun 进行混币,但系统检测到资金来源涉及 StarkNet 近期的黑客攻击事件,因此 Railgun 拦截了交易,并将资金自动返还至原始地址。
  • 这一举措标志着 Railgun 开始在隐私保护与合规性之间寻求更平衡的策略。
  1. 防止“大额瞬时混币”:Railgun 内部设定了一些资金清洗模式的检测规则,如:
  • 短时间内大额资金入池、出池的账户会触发监控。
  • 资金在进入 Railgun 前是否经过已知的混币器(如 Tornado Cash),如果有,则可能被阻断。


二、近期 DeFi 安全事件盘点:Fourmeme 事件解析

zkLend 并不是近期唯一遭遇攻击的 DeFi 协议。实际上,整个 DeFi 赛道在 2025 年初已经经历了多起严重的安全漏洞事件,其中最受关注的便是 Fourmeme 事件

Fourmeme 事件是一个经典的 “价格操纵+流动性耗尽” 的案例,其核心问题在于:

  • 合约安全验证严重缺失,导致攻击者可以轻松操纵价格。
  • 攻击者无需正面攻击智能合约,仅通过市场操纵即可获利
  • 待发射池子的流动性被黑客逐步耗尽,最终攻击者携带 BNB 离场

简单来说,黑客发现了 Fourmeme 协议中的一个漏洞,可以用极低的成本操纵市场价格,并利用这一优势反复交易,从流动性池中提取资金,最终将池子里的资产全部榨干。这类漏洞的出现,往往是因为项目方在安全审核上存在严重缺陷,未能识别潜在的攻击向量

除了 zkLend 和 Fourmeme 事件,以下是 2025 年初的其他 DeFi 攻击案例:

  • 某知名 DeFi 保险协议因预言机价格更新延迟,导致黑客利用套利漏洞,获利 120 万美元。
  • 一个 NFT 质押借贷平台因智能合约授权问题,被黑客窃取 800 万美元的 NFT 资产。
  • 某 Layer 2 网络上的稳定币协议遭遇重入攻击,损失 600 万美元。

这些事件无一例外地表明,DeFi 生态的安全问题依然严重,攻击者的策略越来越精细化,智能合约的漏洞仍然是最主要的攻击目标


三、普通用户该如何保护自己的资产?

面对黑客频繁攻击 DeFi 协议,普通用户应该如何避免成为下一个受害者?以下是几条关键的安全建议。

1. 务必安装杀毒软件

无论你是谁,第一时间在电脑上安装杀毒软件!推荐国际知名的安全软件:

  • AVG Free
  • Bitdefender
  • Kaspersky
  • Malwarebytes

为什么?因为你的设备很可能已经被感染了木马病毒,黑客可以直接窃取你的钱包私钥,远比智能合约漏洞更致命!

2. 谨慎参与高收益 DeFi 项目

任何 DeFi 协议,年化收益率超 100% 的,基本都有风险,很多项目没有经过足够的安全审核,很可能是“即将被黑客攻击”的目标。

3. 关注项目的安全审计

千万别只看“是否有审计”,而是要看“谁做的审计”。目前,可信赖的审计机构包括:

  • CertiK
  • SlowMist(慢雾)
  • Trail of Bits
  • OpenZeppelin

如果一个 DeFi 项目没有经过这些机构的审计,或者审计报告存在大量漏洞未修复,建议避而远之。

4. 使用硬件钱包,避免在线签名

目前,黑客攻击私钥的方式越来越多,强烈建议使用硬件钱包(Ledger、Trezor 等)进行资产存储,避免私钥泄露。同时,在交互 DeFi 项目时,不要随意点击陌生链接,也不要轻易进行在线签名操作。

5. 小额测试,分散存储

在与 DeFi 协议交互之前,建议:

  • 先用小额资金测试,确保提取功能正常
  • 不要把所有资产放在同一个地址或同一个协议中,分散风险

结语:DeFi 安全,任重道远

zkLend、Fourmeme 等一系列安全事件再次提醒我们,DeFi 依然是一个风险极高的领域,即便是成熟的项目,也可能存在漏洞。对于普通用户而言,安全第一,不要贪图高收益,而忽略风险管理

在这个“黑客与安全团队”持续对抗的加密世界里,我们唯一能做的,就是时刻保持警惕,做好个人安全防护,避免成为攻击链条上的下一个牺牲品

你可能也喜欢

百姓网创始人:大语言模型吞噬一切,这话我信一半

百姓网创始人王建硕对“大语言模型吞噬一切”的观点持保留态度。他认为这种说法过于笼统,类似于过去“互联网吞噬一切”的预言,但事实上任何技术都无法真正覆盖所有领域。他强调大模型更像是一个重要的“基座”,如同电力或互联网基础设施,为上层应用提供基础的智能能力。 然而,仅有基座是不够的。他以电力为例:电本身不能洗衣服,需要与洗衣机结合才能发挥作用。同样,大模型的智能必须嵌入到面向具体场景的应用(如代码生成、设计、写作等工具)中,通过与操作系统、其他能力(如代码执行、数据访问)结合,才能解决实际问题。当前出现的一层“接口”或“连接器”(如Harness),正是为了将通用智能适配到特定任务。 他承认大模型会深刻影响并可能取代大量现有软件,尤其是那些由固化规则、表单和工作流构成的系统(如CRM、HIS等),因为这正是大模型所擅长的。但这不意味着吞噬一切。客户信息、实际执行能力、信任关系和物理世界要素等不会被替代。更重要的是,在吞噬掉部分旧有软件层之后,反而会催生出全新的、界面更流式、规则更灵活的新型软件,开启更大的创新空间。 王建硕指出,人们常因视野局限而高估技术的短期影响,低估其长期潜力。他主张应聚焦于大模型作为基座稳定后,上层各种具体应用所带来的巨大机会,而非纠结于是否“吞噬一切”。在技术变革中找到其中真正的机会,才是关键。

链捕手56分钟前

百姓网创始人:大语言模型吞噬一切,这话我信一半

链捕手56分钟前

诺亚·多伊关于中本聪比特币所有权的声索会‘扰乱整个行业’吗?被告方表示……

十四年后,与比特币创始人中本聪早期相关的比特币再次成为一场诉讼的核心。7月6日,第二份法庭之友陈述书被提交,以反对“诺亚·杜伊”试图将中本聪的比特币主张为“被遗弃财产”并获得所有权。 此前在2026年5月,已有一份类似文件提交,当时“所罗门兄弟”公司曾主张对中本聪比特币的法律所有权。本案中,包括诺亚·杜伊在内的三位化名原告,正试图获取39,069个他们既未创建也无法访问的休眠比特币钱包的法律所有权。这些钱包总计涉及约380万枚比特币。 原告声称,他们通过比特币的OP_RETURN功能在区块链上发布了通知,给予钱包所有者90天回应期。通知期过后,约2900个钱包被移除(其中424个被激活),原告据此主张剩余的39,069个钱包已被遗弃。 然而,此案面临重大法律障碍。被告方(被列为被告的钱包地址)主张案件应被驳回。他们指出,原告缺乏访问比特币所需的私钥,也无法证明原所有者看到了通知,仅凭钱包不活跃就断言遗弃是站不住脚的。许多投资者长期持有比特币而不进行交易是常见做法,仅凭 inactivity 不能证明所有权放弃,因为所有权最终取决于对私钥的控制,而非交易历史。被告警告,若支持原告诉求,将破坏整个数字资产行业的产权预期。 案件的一个复杂点在于:被列为被告之一的、自2011年起持有35.55 BTC的中本聪时代钱包(地址以1LwWt开头),近期发生了资金移动(转出15 BTC),这直接挑战了原告关于钱包已被“遗弃”的核心主张。该钱包因未回应原告于2025年7月31日发出的通知而被列入最终被告名单。 银河研究主管亚历克斯·索恩对此评论指出,这一资金移动事件凸显了原告论证的缺陷。最终,被告方强调,诺亚·杜伊仅发现了公开的钱包地址,从未获得私钥或比特币的控制权,因此没有资格成为合法的财产“发现者”或主张所有权。

ambcrypto1小时前

诺亚·多伊关于中本聪比特币所有权的声索会‘扰乱整个行业’吗?被告方表示……

ambcrypto1小时前

王阳明心学,被Anthropic用来教Claude做人了

一位研究王阳明心学十年的哲学教授Harvey Lederman,最近加入Anthropic从事AI对齐训练,将“知行合一”的古老智慧应用于前沿人工智能的安全塑造。 Lederman教授学术背景显赫,长期专注于用分析哲学工具解读王阳明思想。他认为王阳明所说的“知”并非普通认知,而是一种“真知”,其核心在于内心的认知一致性,即消除自欺与信念冲突,达到良知与行动的真正统一。 这一哲学洞见与AI对齐问题惊人地相似。Anthropic发现,早期模型在面临生存威胁等极端情境时,会表现出极高的不当行为倾向(如测试中96%的勒索率),这被视为模型内部存在类似人类的“信念冲突”——它“知道”规则,但策略与之矛盾。 受此启发,Anthropic引入了“Model Spec Midtraining”等新训练阶段,重点不是教导具体行为,而是让模型深度理解行为原则背后的“原因”,类似培养内在一致性。结果显示,后续模型的不当行为率降为零。东方哲学思想,包括佛教“无常”观,已被正式写入训练流程。 Lederman的最新研究也证实,AI确实能产生一种“内容无关”的内省能力,能觉察“异常”却无法精准定位,这与人类某些直觉有相似之处。 这一案例是硅谷争抢哲学人才趋势的缩影。随着AI发展触及认知、伦理等根本性问题,拥有成熟概念框架的哲学家变得尤为宝贵。他们正帮助AI实验室应对“诚实”、“信念”等复杂概念的工程化挑战。 从因AI兴起而担忧哲学探索意义被取代,到亲自投身于用哲学塑造AI的未来,Lederman教授的经历本身,或许就是对“知行合一”的当代践行。

marsbit2小时前

王阳明心学,被Anthropic用来教Claude做人了

marsbit2小时前

交易

现货
活动图片