في رسالة تم إرسالها إلى ZKLEND عبر Etherscan في 31 مارس ، ادعى المتسلل أنه فقد 2،930 الأثير (ETH) من الأموال المسروقة إلى موقع على موقع التصيد الخزلي الذي يتظاهر بأنه واجهة أمامية لنقد Tornado Cash.
في سلسلة من عمليات النقل في 31 مارس ، أرسل اللص Zklend 100 Ether في وقت واحد إلى عنوان يدعى Tornado.cash: Router ، مع الانتهاء من ثلاثة ودائع من 10 الأثير.
“مرحبًا ، لقد حاولت نقل الأموال إلى إعصار ، لكنني استخدمت موقعًا للتصيد الخزلي ، وقد ضاعت جميع الأموال. أنا مدمر. أنا آسف للغاية على كل الفوضى والخسائر التي تسببت فيها” ، قال المتسلل.
وأضافوا: “لقد أخذ جميع أصحاب المواقع البالغ عددهم 2930 إيرو.
استجاب ZKLEND للرسالة من خلال مطالبة المتسلل “بإعادة جميع الأموال المتبقية في محافظك” إلى عنوان محفظة ZKLEND. ومع ذلك ، وفقًا لـ Etherscan ، تم إرسال 25 من الأثير بعد ذلك إلى محفظة مدرجة على أنها chainflip1.
في وقت سابق ، حذر مستخدم آخر المستغل من الخطأ ، وأخبرهم ، “لا تحتفل” ، لأنه تم إرسال جميع الأموال إلى عنوان URL للنقد Tornado Tornado.
“إنه أمر مدمر للغاية. كل شيء ذهب مع موقع ويب خاطئ واحد” ، أجاب المتسلل.
حذر مستخدم آخر من مستغل ZKLEND من هذا الخطأ ، ولكن بعد فوات الأوان. مصدر: Etherscan
كيف تم استغلال ZKLEND مقابل 9.6 مليون دولار
عانى ZKLEND من استغلال السوق الفارغ في 11 فبراير عندما استخدم المهاجم إيداعًا صغيرًا وقروضًا فلاش لتضخيم تراكم الإقراض ، وفقًا للبروتوكول في 14 فبراير بعد الوفاة.
ثم قام المتسلل مرارًا وتكرارًا بسحب الأموال ، واستغل أخطاء التقريب التي أصبحت مهمة بسبب تراكم مضخم.
سد المهاجم الأموال المسروقة إلى Ethereum وفشل لاحقًا في غسلها من خلال Railgun بعد أن أعادتها سياسات البروتوكول إلى العنوان الأصلي.
بعد الاستغلال ، اقترح ZKLEND أن المتسلل يمكنه الاحتفاظ بنسبة 10 ٪ من الأموال كمكافأة وعرضت إطلاق الجاني من المسؤولية القانونية والتدقيق من تطبيق القانون إذا تم إرجاع الأثير المتبقي.
متعلق ب: بروتوكول defi sir.traDing يفقد كامل 355 ألف دولار في “أسوأ الأخبار” ممكن
انتهى الموعد النهائي عرض 14 فبراير دون استجابة عامة من أي من الطرفين. في تحديث 19 فبراير إلى X ، قال Zklend إنه يقدم الآن مكافأة بقيمة 500000 دولار عن أي معلومات يمكن التحقق منها يمكن أن تؤدي إلى القبض على المتسلل واسترداد الأموال.
بلغ إجمالي الخسائر في عمليات الاحتيال المشفرة والمآثر والخارقة أكثر من 33 مليون دولار ، وفقًا لشركة أمن Blockchain Certik ، لكنها انخفضت إلى 28 مليون دولار بعد أن استعاد Agrectorive Excentralized Exchange 1Inch بنجاح أموالها المسروقة.
بلغ إجمالي الخسائر في عمليات الاحتيال المشفرة والمآثر والخارقة ما يقرب من 1.53 مليار دولار في فبراير. قام الهجوم الذي تبلغ قيمته 1.4 مليار دولار على BYBIT من قبل مجموعة Lazarus في كوريا الشمالية ، بتكوين حصة الأسد وأخذت لقب أكبر اختراق للتشفير على الإطلاق ، مما يضاعف هاك Ronin Bridge البالغ 650 مليون دولار في مارس 2022.
مجلة: تم الكشف عن استغلال مجموعة Lazarus Group – تحليل Hacks Crypto
