ZkLend mengeksploitasi bumerang apabila penggodam kehilangan $9.6 juta dalam ETH akibat penipuan pancingan data

Penggodam di sebalik eksploitasi $9.6 juta platform pinjaman berasaskan Starknet zkLend kini telah kehilangan keseluruhan simpanan 2,930 ETH yang dicuri kepada penipuan pancingan data.

Dalam perubahan yang mengejutkan, penyerang secara tidak sedar telah mendepositkan dana tersebut ke dalam versi palsu Tornado Cash—sebuah pengadun kripto yang popular—semasa cuba untuk membersihkannya.

Giliran terbaru ini menyerlahkan trend yang semakin meningkat di mana penjenayah siber yang canggih pun menjadi mangsa penipuan dalam ekosistem yang sama yang mereka eksploitasi.

Kehilangan itu disahkan oleh De.Fi Antivirus Web3, projek keselamatan siber yang disokong oleh Consensys, yang melaporkan kejadian itu pada X pada 31 Mac.

Data Blockchain menyokong dakwaan itu, menunjukkan aliran keluar dana yang jelas ke tapak palsu, diikuti dengan mesej yang dihantar oleh penggodam ke alamat pengerahan zkLend dalam usaha untuk mengawal kerosakan.

Penyerang menghubungi zkLend

Bukti dalam rantaian menunjukkan penggodam cuba mengelirukan dana yang dicuri dengan menggunakan apa yang mereka anggap sebagai Tornado Cash. Walau bagaimanapun, tapak pembancuh adalah palsu.

Dana telah habis serta-merta selepas deposit.

Tidak lama selepas menyedari kesilapan itu, penyerang menghantar mesej dalam rantaian kepada zkLend, mengakui kesilapan itu.

Dalam mesej itu, penggodam mengakui menggunakan tapak pancingan data dan kehilangan segala-galanya.

Mereka menyatakan kekesalan, dan menggalakkan zkLend untuk menumpukan pada menjejaki pengendali penipuan pancingan data dan bukannya diri mereka sendiri.

Ini bukan komunikasi pertama penyerang dengan protokol.

Berikutan eksploitasi 12 Februari, zkLend telah cuba untuk berunding dengan menawarkan hadiah 10% jika penggodam mengembalikan baki dana menjelang 14 Februari.

Tarikh akhir itu berlalu tanpa jawapan, mendorong zkLend untuk melibatkan penguatkuasa undang-undang dan pakar keselamatan siber daripada Starknet Foundation, StarkWare dan Binance Security.

Antara penggodaman kripto Q1 2025 teratas

Pelanggaran zkLend adalah salah satu yang terbesar pada tahun ini setakat ini.

Menurut laporan Q1 2025 Immunefi, tiga bulan pertama 2025 menandakan suku terburuk dalam sejarah keselamatan crypto.

Sejumlah $1.64 bilion telah dicuri merentasi pelbagai platform. Daripada jumlah itu, protokol kewangan terdesentralisasi (DeFi) menyumbang $106.8 juta dalam 38 kejadian.

Ethereum dan Rantaian BNB adalah dua sasaran teratas. Platform terpusat, walaupun terkena hanya dua kali, menyumbang sebahagian besar kerugian, dengan $1.5 bilion dicuri.

Eksploitasi zkLend sahaja menyaksikan 2,930 ETH disedut dalam serangan kontrak pintar yang disasarkan.

Kehilangan ETH ini—yang kini bernilai sekitar $9.6 juta—menjadikan kesilapan pancingan data sebagai detik penting dalam sejarah kecurian crypto, kerana ia bukan sahaja memadamkan dana yang dicuri tetapi juga menyerlahkan kelemahan daripada penyerang dan mangsa dalam ekosistem DeFi.

Pengadun palsu ancaman yang semakin meningkat

Percubaan pencucian yang gagal oleh penyerang memberi penerangan tentang lapisan risiko yang lebih baharu: versi alat kripto yang sah palsu.

Tornado Cash, perkhidmatan pencampuran crypto terkenal yang digunakan untuk privasi, telah disasarkan berulang kali oleh penipuan pancingan data.

Apabila protokol keselamatan meningkat untuk memulihkan aset yang digodam, tapak pancingan data kini menangkap dana yang dicuri sebelum ia boleh dicuci.

Aliran ini menimbulkan kebimbangan yang lebih meluas tentang keselamatan ekosistem.

Malah penggodam berpengalaman menggunakan kaedah lanjutan sedang ditipu oleh alat yang ditipu yang meyakinkan.

Ia juga merumitkan usaha untuk pakar penguatkuasaan undang-undang dan pemulihan, kerana alamat destinasi tapak pancingan data sering hilang tanpa jejak atau dikawal oleh pengendali yang tidak diketahui.

Dengan kerugian yang semakin meningkat, penganalisis industri menggesa protokol DeFi dan pengguna crypto untuk meningkatkan keselamatan operasi.

Sementara itu, kes zkLend menambah senarai kisah amaran yang semakin meningkat yang muncul daripada suku yang sudah memecahkan rekod untuk eksploitasi kripto.