今年愚人節的梗一早就出來了:駭客被黑,被偷ETH 釣。 zkLend 駭客竊取在2930 枚ETH 之後,竟因誤入釣魚網站導致全盤資金被盜。如今,這位駭客透過鏈上留言向zkLend 專案方致歉,聲稱「崩潰了」,並懇請專案方追查釣魚網站經營者以挽回損失。這到底是一出因果報應的黑色幽默,還是駭客的障眼法?讓我們一探究竟。
從駭客到「受害者」
今年2 月,zkLend——基於Starknet 網路的去中心化借貸協議,遭遇了一場毀滅性的攻擊。駭客利用智能合約中的一個「四捨五入錯誤」漏洞,成功捲走3600 枚ETH。事後,zkLend 團隊曾向駭客喊話,提出若歸還90% (3,300 枚ETH),可保留10% 作為「白帽賞金」,並免除法律追責。然而,駭客未予回應,資金迅速轉移至以太坊網絡,並試圖透過隱私協議Railgun 洗錢。雖然Railgun 將這筆資金強制返還導致駭客洗錢未果,但線索一度中斷。
相關閱讀:《 500 萬美元被竊資金遭拒,混幣器Railgun 竟成DeFi 協議「追款工具」? 》
就在所有人以為這筆巨款已石沉大海時, 4 月1 日,慢霧創始人餘弦爆料了一則戲劇性轉折:黑客改用Tornado Cash 進一步混淆資金流向,卻誤點了一個偽裝成Tornado Cash 的釣魚網站,結果2930 黑客改用Tornado Cash 進一步混淆資金流向,卻誤點了一個偽裝成Tornado Cash 的釣魚網站,結果2930 黑客ETH 被一掃而空。
更令人意外的是,駭客隨後透過鏈上留言主動聯繫zkLend,語氣充滿懊悔:「你好,我本來想把資金轉入Tornado Cash,但誤用了一個釣魚網站,結果所有資金都丟失了。我崩潰了。對由此造成的混亂和損失,我深感抱歉。2930 枚ETH 已把該網站嗎這一切或許是最好的選擇。
這封「告白信」迅速在加密社群炸開了鍋。留言中,駭客不僅承認了自己的錯誤,還流露出懊悔,甚至暗示可能「退出江湖」。然而,這份「真情流露」卻讓人不禁懷疑其真實性。
社區怎麼看?
事件曝光後,有人戲稱這是「駭客版的愚人節笑話」,感嘆「出來混遲早要還」;也有人調侃「相當於,緬北電詐分子被街邊電燈柱上的牛皮癬廣告給騙了。」
除了吃瓜看熱鬧之外,還有社群成員指出,駭客也可能在自導自演一出鬧劇,透過偽裝成「受害者」轉移視線,甚至可能與釣魚網站經營者串通,以此洗白身分或掩蓋資金去向。但根據餘弦追踪,這個釣魚網站已經潛伏5 年,如果是這次的黑客自導自演,有些未免過於“有耐心”。目前看來,雖然駭客錢包確實已清空,但不排除背後仍有隱藏帳戶。
截至發稿,zkLend 官方尚未對駭客的留言作出正式回應。此前,專案方已於3 月5 日推出「恢復門戶」,為受影響的用戶提供部分賠償,並承諾加強安全措施。
如今,zkLend 被竊事件像是為加密世界上演了一出「黑吃黑」的戲碼。駭客主動求助,是否會促使zkLend 聯合執法機構追查釣魚網站?還是說這只是駭客「洗白」的障眼法?駭客的「悔過書」究竟是真心悔悟,還是精心佈置的「愚人節幽默」? BlockBeats 將持續追蹤報道事件進度。
