Le protocole de prêt décentralisé zkLend a annoncé qu'il allait cesser ses activités et consacrer ses fonds restants à un fonds de récupération pour les utilisateurs après une exploitation désastreuse de 9,5 millions de dollars en février et la perte de liquidités de jetons qui s'en est suivie.
Cette décision, partagée dans un article sur X par l'équipe zkLend, marque la fin de la brève existence du protocole basé sur Starknet dans DeFi .
Chère communauté zkLend,
C’est avec le cœur lourd que nous annonçons notre décision de mettre fin aux activités de zkLend.
Cette décision n'a pas été prise à la légère. Ces derniers mois, la faille de sécurité dont nous avons été victimes a profondément ébranlé la confiance des utilisateurs, et le récent retrait du ZEND des principales plateformes d'échange…
— zkLend (@zkLend) 25 juin 2025
Les liquidités s'assèchent et la liquidation officielle prend fin
L'exploitation de la faille et la crise qui s'en est suivie ont gravement ébranlé la confiance dans le token ZEND de zkLend. Les principales plateformes d'échange, Bybit et KuCoin, ont retiré le ZEND de leur liste ces dernières semaines, ce qui a fait chuter le volume des transactions et a rendu presque impossible pour les utilisateurs de clôturer leurs positions sans subir un slippage important.
Face à la disparition de la liquidité des jetons, les développeurs de zkLend ont conclu qu'il n'existait aucune voie viable pour relancer leurs marchés monétaires.
Dans un communiqué publié sur X, les principaux contributeurs de zkLend ont exposé leur décision :
« Compte tenu de ces circonstances, nous estimons que l’utilisation du reste de notre trésorerie – 200 000 $ – pour soutenir les utilisateurs touchés par le biais du fonds de relance constitue une utilisation plus responsable et plus judicieuse des ressources que la relance de nos marchés monétaires et la poursuite du développement. »
Le protocole précise également que les utilisateurs peuvent retirer leurs fonds mis en jeu ou déposer des réclamations via les portails DeFi Spring et kSTRK.
L'équipe a également retenu les services de zeroShadow, la société d'analyse forensique de la blockchain chargée de tracles actifs volés, et a déclaré que tout montant récupéré grâce à cet effort sera reversé au fonds de récupération.
Selon zkLend, dans les semaines à venir, son code source audité et mis à jour sera publié en open source afin que les développeurs de la communauté puissent le dupliquer ou l'améliorer.
zkLend ne s'est jamais remis du piratage de février
Lancée officiellement sur le réseau principal Starknet fin 2023, zkLend visait à proposer des services de prêt et d'emprunt sans conservation de titres sur Starknet via des « marchés monétaires » optimisés en termes de rendement. Sa promesse reposait sur des preuves à divulgation nulle de connaissance pour un débit élevé et des frais de gaz réduits.
Mais le 11 février, un pirate a exploité une faille dans le système d'accumulation de prêts de zkLend via des prêts flash et des erreurs d'arrondi, détournant environ 9,5 millions de dollars à l'époque.
L'analyse post-mortem de zkLend a détaillé comment la vulnérabilité a permis à l'attaquant de gonfler l'état du protocole et de vider les dépôts en succession rapide.
Dans les jours qui suivirent, zkLend proposa au pirate une prime de 10 % en échange de la restitution des fonds restants. Mais le pirate garda le silence jusqu'à un rebondissement inattendu.
Le 31 mars, l'attaquant a envoyé un message vide à zkLend , affirmant avoir perdu 2 930 ETH sur les fonds volés, au profit d'un site web d'hameçonnage se faisant passer pour Tornado Cash . Dans une note enregistrée par Etherscan, l'attaquant déplorait :
« Bonjour, j'ai essayé de transférer des fonds vers un compte Tornado, mais j'ai utilisé un site web frauduleux et j'ai perdu tous les fonds. Je suis dévasté et désolé pour les dégâts et les pertes occasionnés. »
De nombreux enquêteurs spécialisés dans les cryptomonnaies ne croient pas à la version du pirate. L'analyse de la blockchain a révélé que la transaction a emprunté un chemin plus opaque pour atteindre Tornado Cash.
Le pirate a utilisé une adresse Ethereum personnalisée pour transférer les fonds volés, et ceux-ci n'ont pas été envoyés directement à l'un des sites frauduleux de Tornado Cash . De plus, le fait qu'il n'ait pas mentionné le site d'hameçonnage ayant servi à la fraude a suscité des interrogations.
La communauté DeFi a réagi avec un mélange de sympathie, de frustration et de prudence.
À l'avenir, les utilisateurs concernés suivront l'avancement de l'analyse forensique de zeroShadow. Parallèlement, la publication prochaine en open source destracaudités de zkLend pourrait donner lieu à des forks ou à de nouveaux projets intégrant les enseignements tirés par l'équipe.
