ក្រុមហ៊ុនផ្តល់ប្រាក់កម្ចី zkLend បានរងការបំពាន ជាកន្លែងដែលហេគឃ័របានធ្វើការកេងចំណេញលើបញ្ហាកិច្ចសន្យាឆ្លាតវៃ (Smart Contract) ដើម្បីលួចប្រាក់ 3,600 Ethereum មានតម្លៃ ៩,៥លានដុល្លារនៅពេលនោះ។ក្រុមហ៊ុន zkLend គឺជាប្រូតូកូលទីផ្សារប្រាក់វិមជ្ឈការ (decentralized money-market protocol) ត្រូវបានបង្កើតឡើងនៅលើប្លុកឆែន Starknet ដែលជា Layer 2 scaling solution សម្រាប់ Ethereum។ វាបើកឱ្យអ្នកប្រើអាចដាក់ប្រាក់ ខ្ចីប្រាក់ និងផ្តល់ប្រាក់កម្ចី។ ការវាយប្រហារធ្វើឡើងកាលពីល្ងាចម្សិលមិញ ហើយក្រុមហ៊ុន zkLend បានព្រមាននៅលើបណ្តាញសង្គម X ថា ពួកគេកំពុងតែរងគ្រោះដោយសារឧប្បត្តិហេតុសន្តិសុខសាយប័រ។
យោងតាម EthSecurity Telegram Channel បានឱ្យដឹងថា ហេគឃ័របានកេងចំណេញលើបញ្ហា (Rounding error bug) នៅក្នុងមុខងារ Mint() កិច្ចសន្យាឆ្លាតវៃរបស់ក្រុមហ៊ុន zkLend។ ហេគឃ័របានរៀបចំ “lending_accumulator” មានទំហំធំដល់ទៅ 4.069297906051644020 បន្ទាប់មកកេងចំណេញលើបញ្ហារបស់ Rounding Error នៅក្នុងពេលបន្ថែមឯកតាថ្មី (ztoken mint()) និងដកប្រាក់ ដើម្បីដាក់ប្រាក់ម្តងទៀតចំនួន 4.069297906051644020 wstETH ដើម្បីទទួលបានប្រាក់ 2 wei បន្ទាប់មកដកប្រាក់ 4.069297906051644020*1.5 -1 = 6.103946859077466029 wstETH និងបានចំណាយត្រឹមតែប្រាក់ 1 wei បើយោងតាមការបង្ហោះរបស់ EthSecurity Channel។ Starkware ជាអ្នកដែលបានបង្កើត Starknet Network បានបញ្ជាក់ថា ភាពងាយរងគ្រោះមិនមែនជាផ្នែកមួយនៃបច្ចេកវិទ្យា Starknet នោះទេ ប៉ុន្តែជាបញ្ហាជាក់លាក់របស់កម្មវិធី (application-specific bug)។ យោងតាម Cyvers បានឱ្យដឹងថា ហេគឃ័រមានបំណងលាងប្រាក់គ្រីបតូតាមរយៈ RailGun Privacy Protocol ប៉ុន្តែត្រូវបានរារាំងដោយសារតែគោលការណ៍ Protocol។
ឥឡូវនេះ zkLend បានចេញសារទៅកាន់ហេគឃ័រថា ប្រសិនបើពួកគេព្រមប្រគល់ប្រាក់ត្រលប់ ៩០%នៃប្រាក់ Ethereum ដែលបានលួច មានចំនួន 3,300 ETH នោះ ពួកគេអាចរក្សាទុកប្រាក់ដែលនៅសល់ ១០% បាន និងមិនប្រឈមនឹងការទទួលខុសត្រូវចំពោះការវាយប្រហារទេ។ ក្រុមហ៊ុនដឹងថាជនខិលខូចទទួលខុសត្រូវចំពោះការវាយប្រហារលើ zkLend នៅថ្ងៃនេះ។ ហេគឃ័រ ឬជនខិលខូចអាចរក្សាទុកប្រាក់ ១០% ដែលជារង្វាន់ Whitehat bounty និងត្រូវផ្ញើប្រាក់ត្រលប់ ៩០% ឬ 3,300 ETH មកវិញ ទៅអាសយដ្ឋាន 0xCf31e1b97790afD681723fA1398c5eAd9f69B98C នេះ បើយោងតាមសារដែលផ្ញើទៅកាន់ហេគឃ័រ។ នៅពេលទទួលបានប្រាក់ ក្រុមហ៊ុនយល់ព្រមលុបចោលការទទួលខុសត្រូវទាំងអស់ទាក់ទងនឹងការវាយប្រហារ។ ក្រុមហ៊ុនកំពុងតែធ្វើការជាមួយក្រុមហ៊ុនសន្តិសុខ និងការអនុវត្តច្បាប់នៅពេលនេះ។ ប្រសិនបើ ក្រុមហ៊ុនមិនទទួលបានព័ត៌មានពីហេគឃ័រនៅវេលាម៉ោង 00:00 UTC ថ្ងៃទី១៤ ខែកុម្ភៈ ឆ្នាំ២០២៥ នោះទេ ក្រុមហ៊ុននឹងបោះជំហានទៅដំណាក់កាលបន្ទាប់ដើម្បីតាមដាន និងកាត់ទោសជនដៃដល់។
ជនខិលខូចដែលលួចប្រាក់គ្រីបតូមានពេលត្រឹមថ្ងៃទី១៣ ខែកុម្ភៈ ម៉ោង 7:00 PM EST ដើម្បីប្រគល់ប្រាក់ត្រលប់ ៩០% មកវិញ មុននឹង zkLend បន្តចាត់វិធានការតាមផ្លូវច្បាប់។ ពុំមានការឆ្លើយតបពីហេគឃ័រទេ ដែលជាទូទៅនៅក្នុងករណីបែបនេះ។ គ្មានហេគឃ័រណាមួយចេញមុខទទួលខុសត្រូវចំពោះការវាយប្រហារនេះនៅឡើយទេ។
