zkLend met fin à ses activités suite à un exploit et des délistages, les 200 000 $ restants redirigés vers les utilisateurs

Le protocole de prêt zkLend a annoncésur X qu'il mettrait fin à ses opérations et redirigerait les 200 000 $ restants de son trésor vers un fonds pour les utilisateurs touchés par une faille de sécurité survenue en février. 

L'équipe a déclaré que l'exploit avait "profondément érodé la confiance des utilisateurs" et que le délistage de ZEND par Bybit et KuCoin avait amplifié les sentiments négatifs, entraînant une baisse significative du capital et de la liquidité nécessaires pour de nouveaux produits.

Pression sur la liquidité et décision d'arrêt

Alors que zkLend évaluait les options de relance, Bybit et KuCoin ont retiré le token ZEND de leurs marchés au comptant, réduisant considérablement la profondeur de trading et coupant une voie pour lever de nouvelles liquidités. 

L'équipe a déclaré que ces contraintes rendaient une relance irréaliste. À la place, zkLend maintiendra ses portails DeFi Spring, recovery et kSTRK en ligne, permettant aux utilisateurs de retirer leurs actifs ou de réclamer leurs soldes. 

Elle a également conservé les services de la société de sécurité zeroShadow pour tracer les fonds volés restants, promettant de rediriger les futures récupérations vers le fonds utilisateur.

zkLend prévoit de publier son codebase révisé et audité en open-source "dans les semaines à venir" pour tout développeur souhaitant construire sur ce framework. L'équipe a ajouté qu'elle resterait "en ligne et engagée dans la récupération des fonds volés par tous les moyens nécessaires", mais ne relancera pas ses opérations de money-market.

Cette décision marque la fin des quatre années d'activité de zkLend sur starknet et officialise la transition de la reconstruction du protocole vers la compensation des utilisateurs via le fonds de récupération.

L'exploit a drainé 3 300 ETH

Le 12 février, un attaquant a exploité une faille d'arrondi dans les contrats Starknet de zkLend pour siphonner environ 3 300 ETH,. L'exploitant a bridgé les actifs vers Ethereum et les a acheminés via l'outil de confidentialité Railgun. 

zkLend a proposé à l'attaquant une prime de 10% si 90% des fonds étaient restitués avant le 14 février, avertissant qu'il poursuivrait des actions légales si le délai n'était pas respecté. Les fonds ne sont jamais revenus, et le protocole a suspendu les retraits tout en collaborant avec la société de sécurité Cyvers, les agences de police et les enquêteurs on-chain.

L'enquête a pris une tournure inattendue le 1er avril lorsque zkLend a rapporté que l'attaquant avait perdu 2 930 eth dans un. 

La firme d'analyse blockchain Lookonchain a confirmé la perte, et l'attaquant a envoyé un message on-chain admettant son erreur, déclarant avoir tout perdu. Il a ajouté : "Je suis dévasté et désolé." 

La faille a laissé les utilisateurs bloqués sans accès à leurs dépôts, et la réputation du protocole en a souffert.

Traduit par NeonBlade42