网站,导致大部分赃款损失。该黑客3月31日通过Etherscan向zkLend发送消息表示,已有2930枚ETH(约合540万美元)赃款因钓鱼网站侵吞。
链上记录显示,当日黑客分多笔向名为"Tornado.Cash: Router"的地址转账,先以100 ETH为单位连续操作,最后分三笔各转出10枚ETH。"我本想通过Tornado转移资金,却误入钓鱼网站导致全部资产损失。我深感绝望,对造成的混乱和损失万分抱歉。"黑客在消息中写道。
zkLend漏洞背后的黑客声称,大部分资金都被一个冒充Tornado Cash前端的钓鱼网站盗取了。来源:Etherscan
黑客补充道:"2930枚ETH全被那个钓鱼网站卷走了。我现在身无分文。请你们全力追查网站运营者,或许还能追回部分资金。"
对此,zkLend官方回应要求黑客"将钱包剩余资金全部归还"至项目方地址。但Etherscan数据显示,黑客随后又将25枚ETH转至标注为Chainflip1的钱包。
事实上,早在黑客转账期间,就有用户在链上发出警告:"别高兴太早",指出所有资金都流入了假冒Tornado Cash的诈骗网址。黑客沮丧回复:"太崩溃了。就因为点错一个网站,一切都没了。"
另一位用户警告了zkLend漏洞使用者,但为时已晚。来源:Etherscan
zkLend如何遭遇960万美元漏洞攻击
根据该协议2月14日发布的事后分析报告,zkLend在2月11日遭受了一次"空市场漏洞攻击"。攻击者通过存入少量资金并利用闪电贷,人为抬高了借贷累加器的数值。
黑客随后通过反复存取资金的操作,利用因累加器膨胀而变得显著的舍入误差漏洞获利。
攻击者将被盗资金跨链转移至以太坊网络,但随后试图通过Railgun进行洗钱时,因协议政策限制导致资金被退回原地址而失败。
在攻击发生后,zkLend提出黑客可以保留10%的资金作为漏洞赏金,并承诺如果归还剩余ETH,将免除其法律责任和执法部门的调查。
2月14日的最后期限已过,双方均未作出公开回应。在2月19日发布的X平台更新中,zkLend表示将提供50万美元的赏金,奖励任何能导致黑客被捕或资金追回的可验证信息。
根据区块链安全公司CertiK的数据,加密货币领域因诈骗、漏洞利用和黑客攻击造成的损失总计超过3300万美元,但在去中心化交易所聚合器1inch成功追回被盗资金后,这一数字降至2800万美元。
2月份,加密货币领域因诈骗、漏洞利用和黑客攻击造成的总损失接近15.3亿美元。其中朝鲜Lazarus集团在2月21日对Bybit发起的14亿美元攻击占据了绝大部分,成为有史以来最大的加密货币黑客攻击事件,这一数字是2022年3月Ronin桥6.5亿美元被盗案的两倍。