zkLend chiude i battenti, ammettendo la sconfitta dopo l'attacco hacker da 9,5 milioni di dollari di febbraio

Il protocollo di prestito decentralizzato zkLend ha annunciato che cesserà le operazioni e dedicherà la tesoreria rimanente a un fondo di recupero degli utenti dopo un disastroso exploit da 9,5 milioni di dollari a febbraio e la conseguente perdita di liquidità dei token. 

La decisione, condivisa in un post su X dal team di zkLend, segna la fine della breve esperienza del protocollo basato su Starknet nel DeFi.

Cara comunità zkLend,

È con il cuore pesante che annunciamo la nostra decisione di chiudere zkLend.

Questa decisione non è stata presa alla leggera. Negli ultimi mesi, l'attacco che abbiamo subito ha profondamente eroso la fiducia degli utenti e, inoltre, la recente rimozione di ZEND dai principali exchange..

— zkLend (@zkLend) 25 giugno 2025

La liquidità si esaurisce e si verifica la chiusura ufficiale

L'exploit e il conseguente dramma hanno seriamente influito sulla fiducia nel token ZEND di zkLend. I principali exchange Bybit e KuCoin hanno rimosso ZEND dalla quotazione nelle ultime settimane, riducendo drasticamente il volume degli scambi e rendendo quasi impossibile per gli utenti chiudere le posizioni senza subire un forte slippage.

Con la liquidità dei token in calo, gli sviluppatori di zkLend hanno concluso che non esisteva una strada praticabile per rilanciare i loro mercati monetari.

In un annuncio X, i principali collaboratori di zkLend hanno delineato la loro decisione:

“Date queste circostanze, riteniamo che utilizzare la parte restante della nostra tesoreria (200.000 dollari) per sostenere gli utenti colpiti attraverso il fondo di recupero sia un uso più responsabile e significativo delle risorse rispetto al rilancio dei nostri mercati monetari e al proseguimento dello sviluppo”

Il protocollo ha inoltre stabilito che gli utenti possono annullare lo staking dei fondi o presentare reclami tramite i portali DeFi Spring e kSTRK.

Inoltre, il team ha incaricato zeroShadow, la società di analisi forense della blockchain che sta lavorando per traci beni rubati, e ha dichiarato che qualsiasi risarcimento derivante da questo sforzo verrà restituito al fondo di recupero.

Secondo zkLend, nelle prossime settimane il suo codice sorgente revisionato e aggiornato verrà rilasciato come open source affinché gli sviluppatori della comunità possano effettuare fork o svilupparne di nuovi.

zkLend non si è mai ripreso dall'attacco hacker di febbraio

Lanciato ufficialmente sulla rete principale di Startknet alla fine del 2023, zkLend mirava a fornire prestiti e prestiti non-custodial su Starknet attraverso "mercati monetari" ottimizzati in termini di rendimento. La sua promessa si basava su prove a conoscenza zero per un throughput elevato e commissioni del gas basse.

Ma l'11 febbraio un aggressore ha sfruttato una falla nell'accumulatore di prestiti di zkLend tramite prestiti flash ed errori di arrotondamento, sottraendo all'epoca circa 9,5 milioni di dollari.

L'analisi post-mortem di zkLend ha spiegato nel dettaglio come la vulnerabilità abbia consentito all'aggressore di gonfiare lo stato del protocollo e di prosciugare i depositi in rapida successione.

Nei giorni successivi, zkLend offrì allo sfruttatore una ricompensa del 10% in cambio della restituzione sicura dei fondi rimanenti. Ma l'hacker rimase in silenzio fino a un colpo di scena inaspettato.

Il 31 marzo, l'aggressore ha inviato un messaggio on-chain di valore zero a zkLend, sostenendo di aver perso 2.930 ETH dei fondi rubati a causa di un sito web di phishing che si spacciava per Tornado Cash. In una nota registrata su Etherscan, l'aggressore lamentava:

"Ciao, ho provato a trasferire fondi a Tornado, ma ho usato un sito di phishing e tutti i fondi sono andati persi. Sono devastato e mi dispiace per il caos e le perdite causate."

Molti investigatori del settore criptovalute non credono al racconto dell'hacker. L'analisi on-chain ha rivelato che la transazione ha utilizzato un percorso più losco per arrivare a Tornado Cash.

L'hacker ha utilizzato un indirizzo vanity Ethereum per trasferire i fondi rubati, che non sono stati indirizzati direttamente a uno dei siti falsi di Tornado Cash . Inoltre, il fatto che l'hacker non abbia menzionato il sito web di phishing che ha rubato i fondi ha destato ulteriori perplessità.

La comunità DeFi ha reagito con un misto di compassione, frustrazione e cautela.

Guardando al futuro, gli utenti interessati monitoreranno i progressi forensi di zeroShadow. Nel frattempo, l'imminente rilascio open source deitracverificati di zkLend potrebbe dare origine a fork o nuovi progetti che incorporino le lezioni apprese dal team.