Сервис zkLend закрывается, признавая поражение после разрушительной хакерской атаки в феврале, в результате которой было украдено 9,5 млн долларов

Протокол децентрализованного кредитования zkLend объявил о прекращении своей деятельности и направлении оставшихся средств в фонд восстановления пользователей после катастрофической атаки на сумму 9,5 миллионов долларов в феврале и последующей потери ликвидности токенов. 

Решение, о котором команда zkLend сообщила в публикации на X , знаменует собой конец недолгого существования протокола на основе Starknet в DeFi.

Уважаемое сообщество zkLend!

С глубокой скорбью мы объявляем о нашем решении свернуть деятельность компании zkLend.

Это решение далось нам нелегко. За последние месяцы уязвимость, от которой мы пострадали, серьезно подорвала доверие пользователей, а кроме того, недавнее удаление ZEND из крупных торговых площадок…

— zkLend (@zkLend) 25 июня 2025 г.

Ликвидность иссякает, и начинается официальное сворачивание деятельности

Инцидент и последовавшая за ним драма серьезно подорвали доверие к токену ZEND компании zkLend. Крупные биржи Bybit и KuCoin исключили ZEND из листинга в последние недели, что резко сократило объем торгов и сделало практически невозможным для пользователей закрытие позиций без значительного проскальзывания.

В связи с исчезновением ликвидности токенов разработчики zkLend пришли к выводу, что нет жизнеспособного пути для перезапуска их денежных рынков.

В официальном сообщении на платформе X основные разработчики zkLend изложили свое решение:

«Учитывая сложившиеся обстоятельства, мы считаем, что использование оставшейся части наших казначейских средств — 200 000 долларов — на поддержку пострадавших пользователей через фонд восстановления является более ответственным и целесообразным использованием ресурсов, чем перезапуск наших денежных рынков и продолжение развития»

В протоколе также указано, что пользователи могут вывести средства из стейкинга или подать претензии через порталы DeFi Spring и kSTRK.

Кроме того, команда привлекла к сотрудничеству компанию zeroShadow, специализирующуюся на криминалистическом анализе блокчейна и занимающуюся tracукраденных активов, и заявила, что любые средства, полученные в результате этой работы, будут возвращены в фонд возмещения убытков.

По данным zkLend, в ближайшие недели проверенный и обновленный код будет выпущен в качестве открытого исходного кода, чтобы разработчики из сообщества могли создавать на его основе форки или использовать его в своих проектах.

Компания zkLend так и не оправилась от хакерской атаки в феврале

Сервис zkLend, официально запущенный в основной сети Starknet в конце 2023 года, был призван обеспечить некастодиальное кредитование и заимствование в сети Starknet посредством оптимизированных по доходности «денежных рынков». Его преимущества основывались на доказательствах с нулевым разглашением для обеспечения высокой пропускной способности и низких комиссий за газ.

Однако 11 февраля злоумышленник воспользовался уязвимостью в механизме накопления кредитов zkLend, используя мгновенные кредиты и ошибки округления, и похитил на тот момент около 9,5 миллионов долларов.

В отчете zkLend по итогам расследования подробно описано, как уязвимость позволила злоумышленнику искусственно завышать состояние протокола и быстро выводить средства с депозитов.

В последующие дни zkLend предложил хакеру вознаграждение в размере 10% за безопасный возврат оставшихся средств. Но хакер замолчал до неожиданного поворота событий.

31 марта злоумышленник отправил в блокчейн сообщение с нулевым значением компании zkLend, утверждая, что потерял 2930 ETH из украденных средств на фишинговом сайте, выдающем себя за Tornado Cash. В записи, зарегистрированной в Etherscan, злоумышленник посетовал:

«Здравствуйте, я пытался перевести средства на счет Tornado, но воспользовался фишинговым сайтом, и все деньги были потеряны. Я в отчаянии и сожалею о причиненном ущербе и потерях»

Многие криптоаналитики не верят рассказу хакера. Анализ блокчейна показал, что транзакция прошла по более сомнительному пути, чтобы попасть в Tornado Cash.

Хакер использовал вымышленный Ethereum -адрес для перевода украденных средств, и они не были отправлены напрямую на один из сайтов-подделок Tornado Cash . Кроме того, тот факт, что хакер не упомянул фишинговый сайт, с которого были украдены средства, вызвал дополнительные подозрения.

Сообщество DeFi отреагировало на это смешанной реакцией: сочувствием, разочарованием и осторожностью.

В дальнейшем пострадавшие пользователи будут следить за ходом анализа, проводимого zeroShadow. Тем временем, предстоящий выпуск с открытым исходным кодом проверенныхtraczkLend может привести к появлению форков или новых проектов, которые учтут опыт команды.