zkLend遭受960万美元攻击：黑客反成钓鱼网站受害者

在2月份，去中心化借贷协议zkLend遭受了一次严重的空市场攻击，导致损失高达960万美元。攻击者利用了一笔小额的存款和闪电贷款来膨胀借贷累加器，随后反复存取资金，利用由于膨胀的累加器而变得显著的舍入错误。

黑客成为钓鱼网站的受害者

令人意外的是，实施这次攻击的黑客在3月31日通过Etherscan发送给zkLend的一条消息中声称，他们刚刚成为了一个模仿Tornado Cash的钓鱼网站的受害者。这导致被盗资金中的一大部分——2,930 Ether（ETH）——被转到了一个冒充Tornado Cash前端的钓鱼网站。

黑客的沮丧：”你好，我试图将资金转移到Tornado，但我使用了一个钓鱼网站，所有的资金都丢失了。我感到非常沮丧。对于造成的所有破坏和损失，我感到非常抱歉,”黑客说。
资金的去向：在一系列3月31日的转账中，zkLend的窃贼每次向一个名为Tornado.Cash: Router的地址发送100 Ether，最后还进行了三笔10 Ether的存款。

zkLend的回应与后续

zkLend回应了这条消息，要求黑客“将你钱包中剩余的所有资金”返回到zkLend的钱包地址。然而，根据Etherscan的记录，另外25 Ether随后被发送到了一个列为Chainflip1的钱包。

早些时候，另一个用户警告了攻击者关于这个错误，告诉他们“不要庆祝”，因为所有的资金都被发送到了诈骗的Tornado Cash URL。“这太令人沮丧了。一切都因为一个错误的网站而消失了，”黑客回复道。

攻击背后的机制

根据该协议2月14日的事后分析，zkLend在2月11日遭受的攻击是通过使用一笔小额的存款和闪电贷款来膨胀借贷累加器实现的。黑客随后将被盗资金桥接到以太坊，但在通过Railgun洗钱失败后，协议政策将它们返回到原始地址。

zkLend的反击措施

在攻击之后，zkLend提议黑客可以保留10%的资金作为赏金，并提议如果剩余的Ether被归还，将免除肇事者的法律责任和执法机构的审查。然而2月14日的提议截止日期过去了双方都没有公开回应.在2月19日对X更新中, zkLen表示现在提供50万美元赏金用于任何可以导致黑客户被捕和资全追回可验证信息.

相关阅读: DeFi协议SIR.trading在‘最坏消息’中损失了全部355K TVL
杂志: 拉撒路集团最喜欢的攻撃手段揭露——加密货币黑客户分析