Tên hacker zkLend trở thành nạn nhân của lừa đảo phishing, mất 5,4 triệu đô la ETH
Tên hacker đã khai thác zkLend để lấy 9,6 triệu đô la tuyên bố đã mất một phần lớn số tiền đánh cắp cho một trang web lừa đảo giả mạo Tornado Cash.
Người đứng sau vụ khai thác 9,6 triệu đô la của nền tảng cho vay phi tập trung zkLend vào tháng Hai đã bị lừa đảo phishing, mất một lượng lớn tiền đánh cắp.
Vào ngày 31 tháng 3, hacker đã giao tiếp qua Etherscan với zkLend, thừa nhận đã mất 2.930 Ether (ETH) cho một trang web lừa đảo giả mạo Tornado Cash.
Hacker đã thực hiện một loạt các giao dịch vào ngày 31 tháng 3, gửi 100 Ether mỗi lần đến một địa chỉ được gắn nhãn là Tornado.Cash: Router, kết thúc với ba khoản gửi nhỏ hơn mỗi khoản 10 Ether.
Thể hiện sự hối tiếc sâu sắc, hacker đã nói, "Xin chào, tôi đã cố gắng chuyển tiền vào Tornado, nhưng tôi đã sử dụng một trang web lừa đảo, và tất cả tiền đã bị mất. Tôi rất đau lòng. Tôi rất xin lỗi vì tất cả sự hỗn loạn và thiệt hại gây ra."
Hacker đứng sau vụ khai thác zkLend tuyên bố đã mất phần lớn tiền cho một trang web lừa đảo giả mạo giao diện của Tornado Cash.
Hacker tiếp tục giải thích, "Tất cả 2.930 Eth đã bị chủ sở hữu trang web đó lấy đi. Tôi không còn tiền. Vui lòng chuyển hướng nỗ lực của bạn đến những chủ sở hữu trang web đó để xem liệu bạn có thể thu hồi một phần tiền hay không."
Đáp lại, zkLend thúc giục hacker trả lại số tiền còn lại vào địa chỉ ví của họ. Tuy nhiên, các giao dịch tiếp theo cho thấy thêm 25 Ether đã được chuyển đến một địa chỉ có tên là Chainflip1.
Trước đó, một người dùng khác đã cảnh báo hacker về vụ lừa đảo phishing, khuyên, "đừng ăn mừng," vì tất cả tiền đã được gửi đến một URL giả mạo của Tornado Cash.
Hacker than thở, "Thật là đau lòng. Tất cả đã mất với một trang web sai lầm."
Một người dùng khác đã cảnh báo người khai thác zkLend về sai lầm, nhưng đã quá muộn.
Chi tiết về vụ khai thác 9,6 triệu đô la của zkLend
Vào ngày 11 tháng 2, zkLend đã bị tấn công bởi một vụ khai thác thị trường trống, nơi kẻ tấn công sử dụng một khoản tiền gửi nhỏ và các khoản vay nhanh để thao túng bộ tích lũy cho vay, như được chi tiết trong báo cáo hậu kiểm ngày 14 tháng 2.
Kẻ tấn công đã khai thác hệ thống bằng cách liên tục gửi và rút tiền, lợi dụng các lỗi làm tròn được khuếch đại bởi bộ tích lũy bị thổi phồng.
Sau vụ khai thác, số tiền đánh cắp đã được chuyển sang Ethereum, nhưng một nỗ lực rửa tiền qua Railgun đã thất bại khi tiền được trả lại địa chỉ gốc do các chính sách của giao thức.
Sau đó, zkLend đã đề nghị hacker giữ lại 10% số tiền như một phần thưởng, hứa sẽ bỏ hành động pháp lý và sự giám sát của cơ quan thực thi pháp luật nếu số Ether còn lại được trả lại. Thời hạn cho đề nghị này đã qua vào ngày 14 tháng 2 mà không có phản hồi.
Sau đó, zkLend đã tăng phần thưởng lên 500.000 đô la cho bất kỳ thông tin nào dẫn đến việc bắt giữ hacker và thu hồi tiền.
Tháng 3 đã chứng kiến hơn 33 triệu đô la bị mất do các vụ lừa đảo, khai thác và tấn công tiền điện tử, mặc dù con số này đã giảm xuống còn 28 triệu đô la sau khi 1inch thu hồi lại số tiền bị đánh cắp. Thiệt hại trong tháng 2 cao hơn nhiều, gần 1,53 tỷ đô la, chủ yếu do một vụ tấn công 1,4 tỷ đô la vào Bybit bởi nhóm Lazarus từ Triều Tiên, đánh dấu nó là vụ tấn công tiền điện tử lớn nhất từ trước đến nay.
Theo Cointelegraph
Tin khác
