Vụ hack zkLend phát sinh thêm tình tiết mới, hacker tuyên bố bị lừa mất 2.930 ETH (5,4 triệu USD). Thực hư ra sao?
Quả báo đến sớm hay một dàn dựng mới?
Hacker từng “đột nhập” giao thức zkLend và đánh cắp 9,5 triệu USD giờ đây lại trở thành nạn nhân của một trò lừa đảo khác.
Thay vì thực hiện rửa tiền trên Tornado Cash, hắn lại vào nhầm một trang phishing giả mạo nền tảng, khiến toàn bộ số tiền “đi tong”.
Trong một tin nhắn gửi đến zkLend thông qua Etherscan ngày 31/03, kẻ tấn công thú tội đã tiêu tùng 2.930 ETH (khoảng 5,4 triệu USD).
Hacker sau đó còn tỏ ra suy sụp, làm trò cười cho thiên hạ:
“Tôi đã cố di chuyển số tiền qua Tornado, nhưng lại nhầm với một trang web lừa đảo. Toàn bộ số tiền đã mất. Tôi thật sự suy sụp. Tôi vô cùng xin lỗi vì tất cả những tổn thất và hậu quả đã gây ra.”
Nhìn sơ qua, có vẻ hacker đã trở thành nạn nhân của chính những chiêu trò mà hắn từng sử dụng với người khác. Tuy nhiên, một số bằng chứng on-chain lại chỉ ra một khả năng hoàn toàn khác: đây có thể là một màn kịch rửa tiền. Hacker zkLend và chủ nhân của trang lừa đảo kia có thể là cùng một người.
ENS safe-relayer.eth được hard-code trong mã nguồn trang web giả mạo Tornado Cash. Những ai quen thuộc với Tornado Cash đều biết rằng các relayer phải đọc dữ liệu từ hợp đồng Relayer Registry (0x58e8dcc13be9780fc42e8723d8ead4cf46943df2). Thế nhưng, trang web giả mạo lại hard-code địa chỉ safe-relayer.eth vào mã nguồn, có thể là một kế hoạch được tính toán rất kỹ từ trước.
Trang giả mạo đã tồn tại từ năm 2024 và từng bị gắn cờ đỏ trong nhóm Telegram chính thức của Tornado Cash. Điều này có nghĩa nó không phải mới xuất hiện mà có thể đã được hacker kiểm soát từ lâu.
safe-relayer.eth đã bị xóa khỏi mã nguồn ngay sau vụ việc, nhưng số tiền vẫn được rút qua địa chỉ này. Nếu hacker thực sự bị lừa, tại sao kẻ lừa đảo lại có liên kết với chính hắn?
Như vậy, khả năng hacker đạo diễn màn kịch hoàn hảo, tự làm nạn nhân trong câu chuyện của mình, giả vờ mất tiền để khiến cộng đồng ngừng truy vết số tiền đánh cắp cũng khá hợp lý.
Ngay sau lời than thở của hacker, một người dùng khác đã nhanh chóng chỉ ra vấn đề:
“Đừng vội mừng, vì toàn bộ số tiền đã bị gửi đến một trang Tornado Cash giả mạo.”
Hacker còn đáp lại:
“Thật là tàn nhẫn. Mọi thứ biến mất chỉ vì một trang web sai lầm.”
zkLend cũng không tỏ ra đồng cảm mà lập tức phản hồi:
“Hãy trả lại toàn bộ số tiền còn lại trong ví của bạn cho zkLend.”
Bất chấp lời kêu gọi này, hacker này vẫn tiếp tục chuyển 25 ETH sang một ví khác có tên Chainflip1.
Tóm lược vụ hack zkLend
Vào ngày 11/02/2025, giao thức lending trên StarkNet là zkLend đã bị tấn công. Hacker đã gửi một khoản tiền nhỏ và sử dụng flash loan để làm phình to chỉ số tích lũy của hệ thống lending. Tiếp đến, hắn liên tục nạp rút tiền để khai thác lỗi làm tròn số, biến khoản chênh lệch này thành một khoản lợi nhuận khổng lồ.
Sau khi rút cạn 9,6 triệu USD từ zkLend, hắn chuyển chúng lên Ethereum và tìm cách rửa tiền thông qua Railgun. Tuy nhiên, cơ chế của Railgun đã trả lại tiền về ví ban đầu, khiến hắn phải tìm cách khác để hợp thức hóa số tiền này.
Trước tình thế đó, zkLend đề nghị hacker giữ lại 10% như một khoản thưởng bounty và sẽ không truy cứu pháp lý nếu hoàn trả phần còn lại. Hết hạn phản hồi, hắn vẫn phớt lờ. Đến ngày 19/02, zkLend đã treo thưởng 500.000 USD cho bất kỳ ai cung cấp thông tin giúp bắt giữ hacker và thu hồi số tiền bị đánh cắp.
Hacker có lẽ không ngờ rằng, trước khi bị pháp luật sờ gáy, hắn đã tự tặng lại 5,4 triệu USD cho một nhóm lừa đảo khác. Đúng là “cao nhân có cao nhân trị”!
Theo thống kê của công ty bảo mật blockchain CertiK, tổng thiệt hại từ các vụ hack, lừa đảo trong tháng 2 đã lên đến 1,53 tỷ USD. Vụ hack 1,4 tỷ USD vào Bybit ngày 21/02, do nhóm hacker Lazarus của Triều Tiên thực hiện, là vụ tấn công crypto lớn nhất lịch sử. Thiệt hại này gấp đôi vụ hack 650 triệu USD vào cầu nối Ronin hồi tháng 03/2022.
Theo Coinviet tổng hợp
Cùng theo dõi Coinviet.net và xem thêm những tin tức hữu ích khác tại Dexnew.io nhé!
