慢雾：zkLend攻击者利用闪电贷特殊机制，通过舍入漏洞提款获得超出预期的资产

区块之家讯 Starknet 链上的头部借贷平台 zkLend 此前遭到攻击，损失了价值近千万美元的资产，慢雾分析本次攻击的核心在于攻击者利用闪电贷中的特殊机制，操纵放大了空市场中累加器的值，从而在提款时可以利用舍入漏洞来获得超出预期的资产，建议项目方设计合理安全的闪电贷逻辑模型，将影响存款凭证代币的数量计算的情况考虑进去，并在数学运算中实现安全的舍入机制，以防止精度损失。此外，对于涉及存取款等核心的业务逻辑，应当加强审计与安全测试，从而避免类似情况的发生。