Das auf Starknet basierende zkLend stellt den Betrieb ein. Ein schwerwiegender Exploit im Februar 2025 führte zu Millionenverlusten und dem Delisting des ZEND-Tokens von großen Börsen. Was geschah wirklich und welche Lehren müssen wir daraus ziehen?
Das auf Starknet basierende dezentrale Kreditprotokoll zkLend hat am 25. Juni 2025 seine Einstellung des Betriebs angekündigt. Diese schockierende Entscheidung folgt auf einen verheerenden Sicherheitsvorfall im Februar 2025. Der Exploit führte zu erheblichen finanziellen Verlusten und dem Delisting des ZEND-Tokens von bedeutenden Krypto-Börsen. Ein harter Schlag für die DeFi-Community und ein weiteres Beispiel für die inhärenten Risiken in dezentralen Systemen, die wir genau analysieren müssen.
Der Angriff nutzte eine Kombination aus mehreren Schwachstellen, darunter eine Dezimalgenauigkeitsvulnerabilität und die Manipulation des Akkumulatormechanismus.
Am 12. Februar 2025 wurde zkLend Opfer eines komplexen Angriffs, bei dem der Angreifer etwa 10 Millionen US-Dollar entwendete. Der Exploit war raffiniert und nutzte mehrere Schwachstellen im System von zkLend aus, darunter eine Dezimalgenauigkeitsvulnerabilität und die Manipulation des Akkumulator-Mechanismus. Es zeigt, wie Angreifer ständig neue Wege finden, um Protokolle zu kompromittieren und die Notwendigkeit ständiger Wachsamkeit zu betonen.
Der Angreifer verwendete Flash-Darlehen und die Ausnutzung von Rundungsfehlern, um die Kollateralwerte künstlich zu erhöhen. Mit einem geringen Initialkapital in Form von wstETH (wrapped stETH) gelang es dem Angreifer, den Kollateralwert auf über 7.000 wstETH zu steigern. Dies ermöglichte es, andere Vermögenswerte vom Markt zu leihen und signifikant zu profitieren.
Die Folgen des Angriffs waren weitreichend für das zkLend-Protokohttps://www.ainvest.com/news/zklend-shuts-9-5-million-hack-user-compensation-fund-established-2506/ll und seine Nutzer. Der Verlust von fast 10 Millionen US-Dollar führte zu einem massiven Vertrauensverlust in das Protokoll. Dies hatte direkte Auswirkungen auf den Wert des ZEND-Tokens. Als direkte Konsequenz wurde das ZEND-Token von großen Krypto-Börsen wie Bybit und KuCoin delistet.
Das Team entschied sich, den verbleibenden Teil des Treasuries für einen Wiederherstellungsfonds zu verwenden, um betroffene Nutzer zu unterstützen.
Das Team hinter zkLend reagierte umgehend und kündigte die Einstellung des Betriebs an. Statt die Geldmärkte neu zu starten und die Entwicklung fortzusetzen, entschied sich das Team, den verbleibenden Teil des Treasuries in Höhe von 200.000 US-Dollar für einen Wiederherstellungsfonds zu verwenden. Damit sollen betroffene Nutzer zumindest teilweise unterstützt werden, ein wichtiger Schritt zur Schadensbegrenzung.
Zusätzlich wird das Team die Codebasis von zkLend in den kommenden Wochen open-source machen. Dies soll interessierten Parteien ermöglichen, die Entwicklung weiterzuführen. Dieser Schritt soll die Transparenz erhöhen und anderen die Chance geben, aus den bitteren Erfahrungen von zkLend zu lernen und ähnliche Vorfälle in Zukunft zu vermeiden.
