zkLend駭客失誤將偷來ETH送入假Tornado Cash網站

**zkLend黑客聲稱將偷來的以太幣轉到假的Tornado Cash釣魚網站後損失慘重**

根據鏈上信息，zkLend黑客表示，他們在將540萬美元的以太幣轉到一個假冒Tornado Cash的釣魚網站後，感到「崩潰」。

該名黑客是今年2月利用去中心化貸款協議zkLend進行960萬美元盜竊的主謀，日前聲稱自己也成為了釣魚網站的受害者，這使得他失去了偷來的部分資金。

根據黑客於3月31日通過Etherscan發送的消息，他表示從偷來的資金中，有2930個以太幣被送到一個冒充Tornado Cash前端的釣魚網站。

在3月31日的一系列轉帳中，zkLend的竊賊每次轉出100個以太幣，最後又有三筆10個以太幣的存入。

黑客在訊息中表示：“你好，我試圖將資金轉到Tornado，但我用了釣魚網站，所有資金都已經丟失。我真的很崩潰，對於造成的所有混亂和損失深感抱歉。”

他進一步表示：“所有2930個以太幣都被那個網站的擁有者取走了。我沒有任何幣了。請將你們的努力轉向那些網站的擁有者，看看能否追回一些資金。”

zkLend隨後回應該消息，要求黑客將剩餘的所有資金返還到zkLend的錢包地址。然而，根據Etherscan，隨後又有25個以太幣被轉到一個名為Chainflip1的錢包。

之前，有另一位用戶警告該黑客這個錯誤，告訴他“不要慶祝”，因為所有資金都已經被轉到該欺詐網站的Tornado Cash網址。

黑客則回應道：“這真是太崩潰了。因為一個錯誤的網站，一切都沒了。”

**zkLend被盜960萬美元事件回顧**

zkLend在2月11日遭遇了一次空市場漏洞攻擊，攻擊者利用小額存款和閃電貸款來提高貸款積累器的數據，從而進行了利用，這是該協議2月14日事後報告中的說明。

隨後，黑客不斷存款和提取資金，利用由於積累器膨脹所引發的四捨五入錯誤。

攻擊者將盜來的資金橋接到以太坊，並試圖通過Railgun進行洗錢，但由於協議政策將資金歸還到原始地址，洗錢未成功。

事件發生後，zkLend曾提出黑客可以保留10%的資金作為懸賞，並表示如果其返還剩餘的以太幣，將免除其法律責任及執法機構的調查。

然而，2月14日的懸賞截止後，雙方並未公開回應。隨後，zkLend於2月19日更新表示，現在提供50萬美元的懸賞金，用以尋找能夠幫助逮捕黑客並追回資金的可驗證信息。

根據區塊鏈安全公司CertiK的數據，加密貨幣詐騙、漏洞和黑客事件的總損失超過3300萬美元，但在去中心化交易所聚合器1inch成功追回被盜資金後，損失降至2800萬美元。

2月的加密貨幣詐騙、漏洞和黑客損失總額接近15.3億美元，其中2月21日由北韓的Lazarus集團發動的1.4億美元攻擊，成為迄今為止最大的加密貨幣黑客事件，將2022年3月Ronin橋接黑客的6.5億美元損失超越。

**編輯評論與啟發性觀點**

這次zkLend黑客事件再次提醒了整個加密貨幣行業在安全性上的脆弱性，特別是在這些高頻交易和高價值資金流動的場景中。黑客的失敗和無奈表現，暴露了即使是犯罪行為者，也可能因為疏忽或錯誤的操作而失去所盜的資金，這無疑是加密社區的一個深刻警示。

更重要的是，這一事件再次突顯了去中心化金融（DeFi）平台在資金安全性方面的不足。雖然zkLend等平台提供了創新的金融產品，但也必須加強對釣魚網站等社會工程攻擊的防範機制。加密貨幣領域的治理和監管仍然處於不確定的狀態，亟需更強的合作與技術保障，來對抗這類漏洞和詐騙行為。

此外，該事件也揭示了去中心化世界的另一個特徵——即便是黑客之間的交易也無法保證安全，這反映了去中心化生態中依然存在著的結構性風險。當用戶對去中心化平台的信任遭遇重大打擊時，該平台的長期生存和發展也將受到考驗。

這也許是加密貨幣和區塊鏈技術在未來需要解決的關鍵挑戰之一：如何在保持去中心化的特性下，確保用戶資金的安全和平台的可持續發展。

以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。