Dự án zkLend – nền tảng lending nổi bật trên StarkNet – đã chính thức tuyên bố ngừng hoạt động sau hàng loạt biến cố nghiêm trọng, bao gồm vụ hack 9,6 triệu USD và việc bị các sàn giao dịch lớn như Bybit và KuCoin gỡ niêm yết token ZEND.
Mất niềm tin, cạn thanh khoản, lựa chọn đóng cửa
Theo thông báo chính thức, đội ngũ zkLend cho biết không còn đủ động lực cũng như điều kiện vận hành, sau khi niềm tin cộng đồng sụp đổ, thanh khoản khô cạn, và các kênh tích lũy/unstaking bị tê liệt.
Thay vì tìm cách gọi vốn hoặc pivot sản phẩm, zkLend tuyên bố dành toàn bộ ngân quỹ còn lại – trị giá 200.000 USD – để thành lập quỹ phục hồi người dùng, hỗ trợ một phần thiệt hại cho các nạn nhân.
Các dịch vụ như DeFi Spring, Recovery Pool, và kSTRK unstaking vẫn được duy trì để người dùng có thể rút phần thưởng và tài sản còn lại.
Mã nguồn mở, hi vọng vào cộng đồng
Trong nỗ lực cuối cùng để “trao lại di sản”, zkLend cũng cho biết sẽ mở mã nguồn đã kiểm toán trong thời gian tới, nhằm khuyến khích cộng đồng và các nhà phát triển độc lập tiếp tục duy trì, tái phát triển hoặc fork dự án theo định hướng phi tập trung.
“Chúng tôi tin vào triết lý open-source. Dù zkLend đóng cửa, hạ tầng này vẫn có thể sống tiếp thông qua cộng đồng.”
– Đại diện zkLend chia sẻ.
Ngoài ra, đội ngũ vẫn đang hợp tác điều tra cùng nhóm truy vết blockchain zeroShadow, nhằm xác minh và thu hồi số tiền đã bị đánh cắp.
Vụ hack zkLend: Lỗi làm tròn số & flash loan
Vào ngày 11/02/2025, hacker khai thác một lỗi làm tròn số trong hệ thống tính toán của zkLend kết hợp với flashloan, tạo ra một vòng lặp “nạp – rút – lạm phát chỉ số tích lũy”, qua đó trục lợi gần 9,6 triệu USD.
Số tiền sau đó được chuyển sang mạng Ethereum, sử dụng công cụ Railgun để che giấu dấu vết. Tuy nhiên, Railgun vô tình hoàn trả số tiền về ví gốc, buộc hacker phải tìm cách khác để rửa tiền.
zkLend sau đó đề nghị hacker giữ lại 10% như bug bounty nếu chịu trả lại phần còn lại, nhưng không nhận được phản hồi. Dự án tiếp tục treo thưởng 500.000 USD cho bất kỳ ai cung cấp thông tin dẫn đến việc thu hồi tài sản bị đánh cắp.
“Hacker bị hack ngược”: Sự thật hay chiêu trò rửa tiền?
Đáng chú ý, đến ngày 01/04/2025, chính hacker của zkLend bất ngờ gửi tin nhắn thú nhận công khai trên Etherscan, cho biết đã mất 2.930 ETH (≈ 5,4 triệu USD) vì dùng nhầm một trang Tornado Cash giả mạo.
Tuy nhiên, cộng đồng on-chain nhanh chóng nghi ngờ đây là một chiêu thức tự dàn dựng để hợp pháp hóa số tiền trộm được. Phân tích kỹ thuật chỉ ra địa chỉ ENS safe-relayer.eth trong smart contract là một dấu hiệu bất thường – được hardcode cố định thay vì linh hoạt như Tornado thật.
“Rất có thể hacker và kẻ ‘lừa đảo’ Tornado giả là cùng một người – một màn kịch rửa tiền ngụy trang thành mất mát.”
– Một nhà phân tích on-chain nhận định.
Dù hacker tỏ ra “hối lỗi”, zkLend tuyên bố không chấp nhận lời xin lỗi, yêu cầu hoàn trả toàn bộ số tiền còn lại. Nhưng thay vào đó, tên này tiếp tục chuyển 25 ETH sang ví khác tên Chainflip1, cho thấy không có ý định dừng lại.
zkLend từng được xem là ngọn cờ đầu của hệ sinh thái StarkNet, với sự hậu thuẫn từ các quỹ lớn như Delphi Digital và StarkWare. Tuy nhiên, vụ hack, thanh khoản sụp đổ, cộng thêm rắc rối truyền thông đã đẩy dự án vào ngõ cụt chỉ sau chưa đầy hai năm vận hành.
Dù kết thúc trong thất bại, zkLend vẫn để lại bài học quý giá về bảo mật, quản trị khủng hoảng và cách dự án DeFi nên ứng xử trong tình huống khẩn cấp.
