Thứ ba, 01/04/2025, 09:42 (GMT + 7)

Hacker lại bị dính hack khiến mất sạch 2.930 ETH trộm được từ zkLend

Sự cố hy hữu vụ hack zkLend gây thiệt hại 3.666 ETH nhưng hacker bị lại mất 2.930 ETH vào trang phishing giả mạo Tornado Cash khiến cộng đồng crypto xôn xao

Mục lục bài viết

Khởi đầu vụ hack zkLend
Từ kẻ lừa đảo thành kẻ bị lừa?

Khởi đầu vụ hack zkLend

Vào rạng sáng ngày 12 tháng 2 năm 2025, giao thức cho vay phi tập trung zkLend trên mạng StarkNet đã trở thành nạn nhân của một cuộc tấn công mạng nghiêm trọng, dẫn đến thiệt hại khoảng 3.666 ETH, tương đương gần 9,5 triệu USD.

Hacker đã khai thác lỗ hổng trong thị trường cho vay token phái sinh wstETH của zkLend. Bằng cách lợi dụng điểm yếu này, kẻ tấn công đã rút cạn thanh khoản của pool wstETH mà không cần thực hiện bất kỳ khoản vay nào. Sau đó, số tiền bị đánh cắp được chuyển qua cầu nối sang mạng Ethereum và tiếp tục được chuyển qua Railgun, một dịch vụ giao dịch tập trung vào quyền riêng tư.

Ngay sau khi phát hiện sự cố, zkLend đã tạm dừng chức năng rút tiền và khuyến cáo người dùng không gửi tiền hoặc trả nợ cho đến khi có thông báo mới. Đội ngũ dự án đã công khai liên hệ với hacker, đề nghị giữ lại 10% số tiền như một khoản thưởng (bounty) nếu hoàn trả 90% còn lại (khoảng 3.300 ETH) vào địa chỉ ví Ethereum được chỉ định. Họ cam kết sẽ không thực hiện hành động pháp lý nếu hacker tuân thủ trước 00:00 UTC ngày 14 tháng 2 năm 2025.

Sau vụ tấn công, Tổng giá trị bị khóa (TVL) của zkLend đã giảm mạnh từ 11,57 triệu USD xuống còn 1,17 triệu USD. Tuy nhiên, giá token ZEND chỉ giảm nhẹ 13,5%, dao động quanh mức 0,036 USD

Từ kẻ lừa đảo thành kẻ bị lừa?

It seems that the 2,930 ETH stolen from @zkLend was deposited into Phishing website imitating TornadoCash and was immediately taken away by the phishing website’s operators.

H/T @TornadoCashBot
— Vladimir S. | Officer's Notes (@officer_cia) March 31, 2025

Tuy nhiên mới đây, khi hacker cố gắng rửa tiền bằng cách chạy số ETH đánh cắp qua Tornado Cash, nhưng lại phạm sai lầm tai hại: click nhầm vào một trang phishing giả mạo Tornado Cash. Hậu quả? Toàn bộ 2.930 ETH bốc hơi trong tích tắc, bay thẳng vào tài khoản của một kẻ lừa đảo khác.

Phát hiện bản thân bị dính quả báo, hacker zkLend quyết định chơi lớn khi gửi tâm thư cho zkLend thông qua giao dịch on-chain, câu xin dự án giúp truy thu lại số tiền bị lừa. Tuy nhiên, bức tâm thư đã bị leak ngay lập tức, khiến sự việc thành trò cười cho cả cộng đồng crypto.

Trong một pha quay xe khó ai ngờ tới, zkLend đã hồi đáp hacker với yêu cầu trả lại số tiền còn lại. Hacker, có lẽ vẫn chưa hết sốc, đã quyết định hoàn trả 25.15 ETH cuối cùng.

Từ một kẻ lợi dụng lủ hổng hệ thống để cướp đoạt tài sản người khác, hacker zkLend lại trở thành nạn nhân trong tay kẻ lừa đảo tinh vi hơn.

Sự cố tại zkLend là một minh chứng cho thấy ngay cả những kẻ tấn công cũng có thể trở thành nạn nhân của các hành vi lừa đảo khác. Nó cũng đặt ra câu hỏi về đạo đức và trách nhiệm trong cộng đồng tiền điện tử, đồng thời nhấn mạnh tầm quan trọng của việc duy trì cảnh giác và tuân thủ các biện pháp bảo mật nghiêm ngặt.

VIC Crypto tổng hợp

Tin tức liên quan:

Raydium ra mắt nền tảng phát hành memecoin để cạnh tranh với pump.fun