В мире децентрализованных финансов (DeFi) каждый день появляются новые проекты, обещающие инновационные решения и высокую доходность. Однако масштабные взломы и эксплуатационные уязвимости могут привести к краху даже самых многообещающих платформ. Одним из таких трагичных примеров стал протокол zkLend, который объявил о полном закрытии своей деятельности после серьезной хакерской атаки и делистинга токена ZEND на ведущих криптобиржах Bybit и KuCoin. Это событие вызвало широкий резонанс в криптосообществе и поставило важные вопросы о безопасности и устойчивости DeFi-проектов на Starknet и других Layer 2 сетях. zkLend был построен на платформе Starknet — масштабируемом решении второго уровня Ethereum на базе технологии ZK-Rollup.
Изначально проект привлек внимание пользователей благодаря возможностям кредитования и стейкинга, предлагая конкурентные ставки и удобные инструменты для управления активами. Однако 12 февраля 2025 года произошла катастрофа: эксплуататор смог воспользоваться ошибкой округления в смарт-контрактах протокола, что позволило ему вывести около 3,300 ETH, тогдашней стоимостью приблизительно 9,5 миллиона долларов. Атака была исполнена с высокой точностью, что затруднило оперативное реагирование команды проекта. К тому же злоумышленник воспользовался сервисом Railgun, инструментом повышающим конфиденциальность транзакций, для последующего перемещения украденных средств через Ethereum, что усложняло их отслеживание. Некоторое время пользователи оставались заблокированными, не имея возможности вывести свои депозиты, что серьезно подорвало доверие к протоколу и его разработчикам.
В попытках вернуть украденные средства zkLend предложил эксплуататору бонус в 10% при условии возврата 90% объемов краже в короткий срок. Несмотря на это, срок возврата был пропущен, и рестрикции по выводу активов остались в силе, усиливая тревогу и недовольство сообщества. Тем не менее, неожиданный поворот произошел 1 апреля: zkLend сообщил, что хакер сам стал жертвой фишинговой атаки, потеряв 2,930 ETH на поддельном сайте, имитирующем Tornado Cash. Данное сообщение сопровождалось признанием злоумышленника на блокчейне, в котором он выразил сожаление и сожаление о случившемся. Несмотря на такую драматическую развязку, ущерб был уже нанесен.
Ликвидность токена ZEND существенно пострадала, что привело к его делистингу на Bybit и KuCoin — двух ключевых биржевых площадках, где велась активная торговля этим активом. Отсечение от крупных торговых площадок сделало невозможным возобновление нормальной работы протокола, так как открытый рынок был одной из базовых основ для привлечения новых капиталов и поддержания экономической устойчивости проекта. Решение редакции zkLend было жестким, но очевидным: команда объявила о полном закрытии сервиса с прекращением кредитных и рыночных операций. При этом платформы DeFi Spring, recovery и kSTRK останутся функционировать, давая пользователям возможность постепенно выводить заложенные активы и требовать свои остатки из системы. Таким образом был обеспечен определенный уровень гарантии и восстановления контроля для вкладчиков, что значительно отличается от практик других подобных провалов, когда пострадавшие пользователи вынуждены полностью терять вложения без шансов на компенсацию.
Дополнительно zkLend сохранил сотрудничество с известной компанией zeroShadow, специализирующейся на отслеживании украденных криптоактивов. Целью этого партнерства стало максимальное возвратное действие украденных средств для поддержания фонда компенсаций, который в данный момент содержит около 200 тысяч долларов. Эти деньги будут направлены на финансирование возмещения убытков пользователей. Более того, команда анонсировала план обнародовать обновленную и полностью проаудированную кодовую базу в формате open-source, чтобы любой заинтересованный разработчик мог продолжить работу с технологиями проекта и при желании создать обновленную или альтернативную версию на базе этих наработок. История zkLend дает серьезные уроки для всей отрасли DeFi и сетей второго уровня.
Во-первых, она демонстрирует, как важно проводить регулярные и глубокие аудиты смарт-контрактов с привлечением внешних экспертов, чтобы выявить даже мелкие уязвимости вроде проблем с округлением, которые в случае zkLend стали причиной потери миллионов долларов. Во-вторых, она акцентирует внимание на влиянии ликвидности и листинга токенов на биржах, поскольку утрата доступа к ключевым торговым площадкам существенно ограничила возможности проекта справиться с кризисом и привести к его окончательному закрытию. Кроме того, случай zkLend подтверждает, что несмотря на децентрализованный характер и высокий технологический уровень многих DeFi-проектов, человеческий фактор, а также интеграция с сервисами повышенной конфиденциальности могут создавать новые риски, уходящие за рамки классических вопросов кибербезопасности. Публичное извинение и признание хакера, подвергшегося фишингу, стало одновременно уникальным и тревожным моментом, подчеркивая весьма своеобразное развитие событий в криптовалютном мире. Пользователи, пострадавшие в результате происшествия, сегодня вынуждены подписываться на обновления, внимательно отслеживать процедуру вывода активов и реализации плана возмещения из фонда, который формируется из оставшихся средств команды и любых возможных возвратов украденных средств.
В долгосрочной перспективе следует внимательно наблюдать за развитием экосистемы Starknet и других подобных проектов, чтобы выявлять новшества в подходах к безопасности и поддержанию ликвидности. zkLend оставляет после себя существенное наследие — не только технологическую платформу, но и важный опыт, показывающий, как быстро могут измениться обстоятельства в DeFi и какие меры необходимы для минимизации рисков для пользователей и разработчиков. Для большинства участников экосистемы это очередное напоминание о необходимости тщательно анализировать инфраструктуру, изучать возможные угрозы и всегда быть готовыми к оперативному реагированию в случае непредвиденных инцидентов. В итоге история zkLend — это тревожный, но поучительный пример того, как инновации и риски идут рука об руку в стремительно меняющемся мире криптовалют и децентрализованных финансов. Проект завершил свой путь практически через четыре года после запуска, но его опыт поможет укрепить экосистему и поставить новые стандарты надежности и прозрачности для будущих игроков на рынке.
Пользователи, которые смогли сохранить доверие и воспользоваться оставшимися механизмами вывода средств, теперь имеют шанс на частичное восстановление потерь, а разработчики в свою очередь получили ценный повод для пересмотра подходов к созданию и управлению DeFi-продуктами.
