zkLend trên Straknet đóng cửa sau vụ hack 3.300 ETH

Trong bài đăng ngày 25/6 trên X, giao thức cho vay zkLend trên Starknet cho biết sẽ ngừng hoạt động và chuyển toàn bộ số tiền còn lại trong kho bạc — trị giá 200.000 USD — vào quỹ hỗ trợ người dùng bị ảnh hưởng bởi sự cố bảo mật xảy ra vào tháng 2.

Nhóm phát triển cho biết vụ khai thác “đã làm xói mòn nghiêm trọng niềm tin của người dùng”, trong khi việc token ZEND bị hủy niêm yết khỏi sàn Bybit và KuCoin càng khiến tâm lý tiêu cực lan rộng, dẫn đến sự sụt giảm mạnh về vốn và thanh khoản — những yếu tố cần thiết cho các sản phẩm mới.

Dear zkLend Community,

It is with a heavy heart that we announce our decision to wind down zkLend.

This decision was not made lightly. Over recent months, the exploit we suffered has deeply eroded user confidence, and furthermore, the recent removal of ZEND from major exchanges…

— zkLend (@zkLend) June 25, 2025

Thanh khoản cạn kiệt và quyết định rút lui

Dù zkLend từng đánh giá nhiều phương án phục hồi, nhưng việc ZEND bị gỡ khỏi các thị trường giao ngay của Bybit và KuCoin đã khiến độ sâu thanh khoản biến mất, chặn đứng khả năng huy động vốn mới. Nhóm cho biết các hạn chế này khiến việc tái khởi động giao thức là điều không khả thi.

Thay vào đó, zkLend sẽ duy trì hoạt động các cổng DeFi Spring, recovery và kSTRK, cho phép người dùng rút tài sản stake hoặc yêu cầu nhận lại số dư.

Nhóm cũng đã thuê công ty an ninh mạng zeroShadow để truy vết số coin bị đánh cắp còn sót lại, cam kết sẽ chuyển toàn bộ khoản thu hồi được trong tương lai vào quỹ bồi thường cho người dùng.

Trong vài tuần tới, zkLend sẽ công bố mã nguồn mới đã được kiểm toán dưới dạng mã nguồn mở, nhằm tạo điều kiện cho các nhà phát triển khác xây dựng tiếp trên nền tảng này. Dù sẽ không nối lại hoạt động thị trường tiền tệ, zkLend khẳng định sẽ “tiếp tục duy trì sự hiện diện và cam kết phục hồi tài sản bị đánh cắp bằng mọi cách cần thiết”.

Động thái này đánh dấu sự kết thúc hành trình kéo dài bốn năm của zkLend trên mạng Starknet, và chính thức chuyển trọng tâm từ việc xây lại giao thức sang đền bù cho người dùng thông qua quỹ phục hồi.

Vụ hack rút cạn 3.300 ETH

Vào ngày 12/2, một kẻ tấn công đã lợi dụng lỗi làm tròn số trong hợp đồng thông minh của zkLend trên Starknet để rút khoảng 3.300 ETH — trị giá khoảng 9,5 triệu USD vào thời điểm đó. Sau đó, số ETH bị đánh cắp được chuyển sang Ethereum và đưa qua công cụ bảo mật Railgun.

zkLend đã đề nghị kẻ tấn công hoàn trả 90% số tiền để được giữ lại 10% như phần thưởng, với hạn chót là ngày 14/2, đồng thời cảnh báo sẽ theo đuổi pháp lý nếu không đáp ứng. Tuy nhiên, không có khoản tiền nào được trả lại và giao thức đã buộc phải dừng rút tiền trong khi phối hợp điều tra với công ty bảo mật Cyvers, cơ quan chức năng và các chuyên gia điều tra on-chain. Nhưng kẻ tấn công cũng vẫn đang nhởn nhơ ngoài vòng pháp luật.

Bất ngờ xảy ra vào ngày 1/4 khi zkLend báo cáo rằng kẻ tấn công đã đánh mất 2.930 ETH vì bị lừa vào một trang web giả mạo Tornado Cash. Công ty phân tích blockchain Lookonchain xác nhận thông tin này, và chính kẻ tấn công đã gửi tin nhắn on-chain thừa nhận sai lầm, nói rằng đã mất toàn bộ số tiền và tuyên bố: “Tôi vô cùng tuyệt vọng và xin lỗi.”

Sự cố khiến người dùng không thể rút tiền, đồng thời gây tổn hại nghiêm trọng đến uy tín của zkLend.

• Starknet sẽ tăng TPS 4X và giảm phí 5X trong vòng 3 tháng tới: CEO StarkWare
• Starknet phát hành SN Stack để phát triển appchain
• ZkLend trên Starknet yêu cầu hacker hoàn trả 8,4 triệu USD ETH bị đánh cắp

Thạch Sanh