A zkLend encerra suas atividades, admitindo a derrota após o ataque hacker devastador de US$ 9,5 milhões sofrido em fevereiro

O protocolo de empréstimo descentralizado zkLend anunciou que encerrará suas operações e destinará seu saldo remanescente a um fundo de recuperação para usuários, após um desastroso ataque que custou US$ 9,5 milhões em fevereiro e a consequente perda de liquidez do token. 

A decisão, compartilhada em uma publicação no X pela equipe do zkLend, marca o fim da breve passagem do protocolo baseado em Starknet pelo DeFi.

Prezada Comunidade zkLend,

É com grande pesar que anunciamos nossa decisão de encerrar as atividades da zkLend.

Essa decisão não foi tomada de forma leviana. Nos últimos meses, a exploração que sofremos abalou profundamente a confiança dos usuários e, além disso, a recente remoção da ZEND das principais corretoras…

— zkLend (@zkLend) 25 de junho de 2025

A liquidez seca e o encerramento oficial acontece

A exploração da vulnerabilidade e a consequente polêmica afetaram seriamente a confiança no token ZEND da zkLend. As principais corretoras, Bybit e KuCoin, removeram o ZEND de suas plataformas nas últimas semanas, reduzindo drasticamente o volume de negociações e tornando praticamente impossível para os usuários encerrarem suas posições sem sofrerem grandes perdas.

Com o desaparecimento da liquidez dos tokens, os desenvolvedores do zkLend concluíram que não havia um caminho viável para relançar seus mercados monetários.

Em um comunicado da X, os principais colaboradores da zkLend detalharam sua decisão:

“Dadas essas circunstâncias, acreditamos que usar o restante de nosso tesouro — US$ 200.000 — para apoiar os usuários afetados por meio do fundo de recuperação é um uso mais responsável e significativo dos recursos do que relançar nossos mercados monetários e continuar o desenvolvimento.”

O protocolo também afirmava que os usuários poderiam retirar fundos ou registrar reivindicações por meio dos portais DeFi Spring e kSTRK.

Além disso, a equipe contratou os serviços da zeroShadow, empresa especializada em perícia forense em blockchain que trabalha no tracdos ativos roubados, e afirmou que qualquer valor recuperado com esse esforço será restituído ao fundo de recuperação.

Segundo a zkLend, nas próximas semanas, seu código-fonte auditado e atualizado será disponibilizado como código aberto para que desenvolvedores da comunidade possam criar forks ou utilizá-lo como base para novos projetos.

A zkLend nunca se recuperou do ataque hacker de fevereiro

Lançada oficialmente na rede principal Starknet no final de 2023, a zkLend tinha como objetivo fornecer empréstimos e financiamentos sem custódia na Starknet por meio de "mercados monetários" com otimização de rendimento. Sua promessa se baseava em provas de conhecimento zero para alta taxa de transferência e baixas taxas de gás.

Mas, em 11 de fevereiro, um invasor explorou uma falha no acumulador de empréstimos do zkLend por meio de empréstimos relâmpago e erros de arredondamento, desviando aproximadamente US$ 9,5 milhões na ocasião.

A análise pós-mortem da zkLend detalhou como a vulnerabilidade permitiu que o atacante inflasse o estado do protocolo e drenasse os depósitos em rápida sucessão.

Nos dias seguintes, a zkLend ofereceu ao explorador uma recompensa de 10% em troca da devolução segura dos fundos restantes. Mas o hacker ficou em silêncio até uma reviravolta inesperada.

on-chain de valor zero mensagem, alegando ter perdido 2.930 ETH dos fundos roubados para um site de phishing que se passava pela Tornado Cash. Em uma nota registrada pelo Etherscan, o explorador lamentou:

“Olá, tentei transferir fundos para uma conta Tornado, mas usei um site de phishing e perdi todo o dinheiro. Estou arrasado e peço desculpas pelo transtorno e pelas perdas causadas.”

Muitos investigadores de criptomoedas não acreditam na história do hacker. A análise on-chain revelou que a transação usou uma rota mais obscura para chegar ao Tornado Cash.

O hacker usou um endereço personalizado Ethereum para movimentar os fundos roubados, e eles não foram enviados diretamente para um dos sites falsos do Tornado Cash . Além disso, o fato de o hacker não ter mencionado o site de phishing que recebeu os fundos levantou ainda mais suspeitas.

A comunidade DeFi reagiu com uma mistura de simpatia, frustração e cautela.

Olhando para o futuro, os usuários afetados acompanharão o progresso da análise forense da zeroShadow. Enquanto isso, o lançamento iminente do código aberto dostracauditados da zkLend pode dar origem a forks ou novos projetos que incorporem as lições aprendidas pela equipe.