- هکر zkLend تمام 2,930 اتریوم دزدیدهشده را به یک قرارداد فیشینگ جعلی Tornado Cash باخت.
- تحلیلگران امنیتی زنجیرهای این کلاهبرداری را تأیید کردند و تأکید کردند که دیفای حتی برای هکرها هم خطرناک است.
این یک انتقام کارما در دنیای رمزارزها بود چرا که هکر 2,930 اتریوم به ارزش تقریبی 9.6 میلیون دلار از zkLend دزدید و همه آن را در یک کلاهبرداری فیشینگ از دست داد. این مهاجم در تلاش بود تا وجوه را از طریق Tornado Cash تغییر شکل دهد، اما در نهایت همه آن را به یک نسخه جعلی از وبسایت Tornado Cash ارسال کرد که منجر به از دست رفتن فوری این دارایی شد.
هک اصلی zkLend در تاریخ 12 فوریه رخ داد، وقتی که هکر یک خطای گرد کردن در قراردادهای هوشمند پروتکل را دستکاری کرد. با استفاده از وامهای لحظهای و سپردههای کوچک، آنها انباشتهگر وامگیری zkLend را فریب دادند تا وجوه اضافی را آزاد کند. این نقص به آنها اجازه داد تا 2,930 اتریوم را قبل از اینکه شناسایی شوند، استخراج کنند.
تحلیل حوادث امنیتی zkLend.
به کاربران ما،
از 11 فوریه، zkLend تحت حملهای قرار گرفت که منجر به از دست رفتن حدود 9.6 میلیون دلار از وجوه شد. ما میخواهیم از کاربران و شرکای خود برای صبر و اعتمادی که در این زمان سخت داشتند، تشکر کنیم. علاوه بر این…— zkLend (@zkLend) 14 فوریه 2025
در پاسخ، zkLend بهطور موقت عملیات خود را متوقف کرد، با شرکتهای امنیت سایبری برای برطرف کردن آسیبپذیریها همکاری کرد و با مقامات قانونی برای پیگیری وجوه دزدیده شده همکاری نمود.
بر اساس گزارش شرکت تجزیه و تحلیل زنجیرهای Lookonchain، هکر در حین تلاش برای تبدیل غنایم خود، قربانی یک کلاهبرداری فیشینگ شد و کل وجوه را به یک دزد دیگر از دست داد. این حادثه هشدار دهندهای درباره خطرات استفاده از خدمات مخلوطکننده غیرمتمرکز برای معاملات غیرقانونی است.
طرح شستشوی پول هکر به بنبست رسید
دادههای زنجیرهای نشان میدهد که در تاریخ 31 مارس، هکر zkLend شروع به ارسال چندین تراکنش 100 اتریوم کرد، در حالی که فکر میکرد از Tornado Cash استفاده میکند. در عوض، هکر ناخواسته با یک قرارداد فیشینگ دیگر که بهطور عمد طراحی شده بود تا خود را بهجای مخلوطکننده جا بزند، ارتباط برقرار کرد. وجوه دزدیده شده بلافاصله تخلیه شد.
با درک اشتباه وحشتناک، هکر یک پیام روی زنجیره برای zkLend گذاشت: “من سعی کردم وجوه را به Tornado منتقل کنم اما از یک وبسایت فیشینگ استفاده کردم. تمام وجوه از بین رفته است. من دچار بحران شدهام و عمیقاً از هر آسیبی که ایجاد کردهام، پشیمانم.” هکر اعتراف کرد.
پس از پیام عمومی هکر، zkLend پاسخ داد و از او خواست تا هرگونه وجوه باقیمانده را به یک کیف پول تعیینشده بازگرداند.اما سوابق بلاکچین نشان میدهد که ۲۵ اتریوم بعداً به یک کیف پول با نام “Chainflip1” منتقل شده است که این موضوع شایعاتی را درباره اینکه آیا برخی از داراییها همچنان قابل بازیابی هستند، بالا برده است.
مسئله هک زکلند تنها بخشی از روند رو به رشد هکهای با پروفایل بالا در دنیای کریپتوکارنسی است. بهگفته دادههای ایمنی، تنها در سهماهه اول سال ۲۰۲۵ یکی از بدترین نقضهای امنیتی در دنیای کریپتوکارنسی ثبت شده است که در آن هکرها بیش از ۱.۵۴ میلیارد دلار از داراییهای دیجیتال را سرقت کردهاند.
این مورد خطرات مداوم در فضای دیفای را برجسته میکند. کلاهبرداریهای فیشینگ، نفوذ در قراردادهای هوشمند، و خطرات پولشویی تهدیدات مداومی هستند که نه تنها کاربران، بلکه حتی افرادی که سعی در دور زدن سیستم دارند را نیز در بر میگیرند. با پیچیدهتر شدن حملات، آموزش امنیت و دفاعهای قویتر از همیشه ضروریتر است.
تتر در سهماهه اول ۲۰۲۵، ۸،۸۸۸ بیت کوین را به ارزش ۷۳۵ میلیون دلار خریداری کرده و مجموع داراییهایش به ۸.۴۱ میلیارد دلار رسیده است.
