Penggodam zkLend mendakwa kehilangan ETH yang dicuri ke tapak pancingan data Tornado Cash

Penggodam di sebalik eksploitasi $9.6 juta terhadap protokol pinjaman wang terdesentralisasi zkLend pada bulan Februari mendakwa mereka baru sahaja menjadi mangsa laman web pancingan data yang menyamar sebagai Tornado Cash, mengakibatkan kehilangan sebahagian besar dana yang dicuri.

Dalam mesej yang dihantar kepada zkLend melalui Etherscan pada 31 Mac, penggodam itu mendakwa telah kehilangan 2,930 Ether (ETH) daripada dana yang dicuri kepada laman web pancingan data yang menyamar sebagai antara muka hadapan untuk Tornado Cash.

Dalam siri pemindahan pada 31 Mac, pencuri zkLend menghantar 100 Ether pada satu masa ke alamat bernama Tornado.Cash: Router, diakhiri dengan tiga deposit sebanyak 10 Ether.

“Hello, saya cuba memindahkan dana ke Tornado, tetapi saya menggunakan laman web pancingan data, dan semua dana telah hilang. Saya sangat kecewa. Saya amat kesal atas semua kekacauan dan kerugian yang disebabkan,” kata penggodam itu.

“Semua 2,930 ETH telah diambil oleh pemilik laman web itu. Saya tidak mempunyai syiling. Sila alihkan usaha anda kepada pemilik laman web itu untuk melihat jika anda boleh mendapatkan semula sebahagian wang,” tambah mereka.

zkLend menjawab mesej itu dengan meminta penggodam untuk “Kembalikan semua dana yang tinggal dalam dompet anda” ke alamat dompet zkLend. Walau bagaimanapun, menurut Etherscan, 25 Ether lagi kemudian dihantar ke dompet yang disenaraikan sebagai Chainflip1.

Sebelum ini, seorang pengguna lain memberi amaran kepada pelaku eksploitasi tentang kesilapan itu, memberitahu mereka, “jangan meraikan,” kerana semua dana telah dihantar ke URL Tornado Cash penipuan.

“Ia sangat menyedihkan. Semuanya hilang dengan satu laman web yang salah,” balas penggodam itu.

Bagaimana zkLend dieksploitasi untuk $9.6 juta

zkLend mengalami eksploitasi pasaran kosong pada 11 Feb apabila seorang penyerang menggunakan deposit kecil dan pinjaman kilat untuk menaikkan pengumpul pinjaman, menurut laporan pasca-mortem protokol pada 14 Feb.

Penggodam kemudian berulang kali mendeposit dan mengeluarkan dana, mengeksploitasi kesilapan pembulatan yang menjadi ketara disebabkan oleh pengumpul yang dinaikkan.

Penyerang memindahkan dana yang dicuri ke Ethereum dan kemudian gagal mencucinya melalui Railgun selepas polisi protokol mengembalikannya ke alamat asal.

Berikutan eksploitasi itu, zkLend mencadangkan penggodam boleh menyimpan 10% daripada dana sebagai ganjaran dan menawarkan untuk melepaskan pelaku daripada liabiliti undang-undang dan pengawasan daripada penguatkuasa undang-undang jika Ether yang selebihnya dikembalikan.

Berkaitan: Protokol DeFi SIR.trading kehilangan keseluruhan $355K TVL dalam ‘berita terburuk’ yang mungkin

Tarikh akhir tawaran pada 14 Feb berlalu tanpa sebarang respons awam daripada mana-mana pihak. Dalam kemas kini pada 19 Feb kepada X, zkLend mengatakan ia kini menawarkan ganjaran $500,000 untuk sebarang maklumat yang boleh dipercayai yang boleh membawa kepada penangkapan penggodam dan pemulihan dana.

Kerugian kepada penipuan kripto, eksploitasi dan penggodaman berjumlah lebih $33 juta pada bulan Mac, menurut firma keselamatan blockchain CertiK, tetapi menurun kepada $28 juta selepas pengagregat pertukaran terdesentralisasi 1inch berjaya mendapatkan semula dana yang dicuri.

Kerugian kepada penipuan kripto, eksploitasi dan penggodaman berjumlah hampir $1.53 bilion pada bulan Februari. Serangan $1.4 bilion pada 21 Feb ke atas Bybit oleh Kumpulan Lazarus Korea Utara menyumbang sebahagian besar dan mengambil gelaran untuk penggodaman kripto terbesar pernah ada, menggandakan $650 juta penggodaman jambatan Ronin pada Mac 2022.

Majalah: Eksploitasi kegemaran Kumpulan Lazarus didedahkan — Analisis penggodaman kripto