今年愚人节的梗一早就出来了:黑客被黑,被盗 ETH 被钓。zkLend 黑客盗取在 2930 枚 ETH 之后,竟因误入钓鱼网站导致全盘资金被盗。如今,这位黑客通过链上留言向 zkLend 项目方致歉,声称「崩溃了」,并恳请项目方追查钓鱼网站运营者以挽回损失。这到底是一出因果报应的黑色幽默,还是黑客的障眼法?让我们一探究竟。
从黑客到「受害者」
今年 2 月,zkLend——基于 Starknet 网络的去中心化借贷协议,遭遇了一场毁灭性的攻击。黑客利用智能合约中的一个「四舍五入错误」漏洞,成功卷走 3600 枚 ETH。事后,zkLend 团队曾向黑客喊话,提出若归还 90% (3300 枚 ETH),可保留 10% 作为「白帽赏金」,并免除法律追责。然而,黑客未予回应,资金被迅速转移至以太坊网络,并试图通过隐私协议 Railgun 洗钱。虽然 Railgun 将这笔资金强制返还导致黑客洗钱未果,但线索一度中断。
相关阅读:《500 万美元被盗资金遭拒,混币器 Railgun 竟成 DeFi 协议「追款工具」?》
就在所有人以为这笔巨款已石沉大海时, 4 月 1 日,慢雾创始人余弦爆料了一则戏剧性转折:黑客改用 Tornado Cash 进一步混淆资金流向,却误点了一个伪装成 Tornado Cash 的钓鱼网站,结果 2930 枚 ETH 被一扫而空。
更令人意外的是,黑客随后通过链上留言主动联系 zkLend,语气充满懊悔:「你好,我本想把资金转入 Tornado Cash,但误用了一个钓鱼网站,结果所有资金都丢失了。我崩溃了。对由此造成的混乱和损失,我深感抱歉。2930 枚 ETH 已全部被该网站的运营者夺走,我手上已经没有任何币了。请把精力转向那些网站运营者,看看是否能追回部分资金。这是我的最后一条消息,结束这一切或许是最好的选择。再次抱歉。」
这封「告白信」迅速在加密社区炸开了锅。留言中,黑客不仅承认了自己的错误,还流露出懊悔,甚至暗示可能「退出江湖」。然而,这份「真情流露」却让人不禁怀疑其真实性。
社区怎么看?
事件曝光后,有人戏称这是「黑客版的愚人节笑话」,感叹「出来混迟早要还」;也有人调侃「相当于,缅北电诈分子被街边电灯柱上的牛皮癣广告给骗了。」
除了吃瓜看热闹之外,还有社区成员指出,黑客也可能在自导自演一出闹剧,通过伪装成「受害者」转移视线,甚至可能与钓鱼网站运营者串通,以此洗白身份或掩盖资金去向。但根据余弦追踪,这个钓鱼网站已经潜伏 5 年,如果是这次的黑客自导自演,有些未免过于「有耐心」。目前看来,虽然黑客钱包确实已清空,但不排除其背后仍有隐藏账户。
截至发稿,zkLend 官方尚未对黑客的留言作出正式回应。此前,项目方已于 3 月 5 日推出「恢复门户」,为受影响的用户提供部分赔偿,并承诺加强安全措施。
如今,zkLend 被盗事件像是为加密世界上演了一出「黑吃黑」的戏码。黑客主动求助,是否会促使 zkLend 联合执法机构追查钓鱼网站?还是说这只是黑客「洗白」的障眼法?黑客的「悔过书」究竟是真心悔悟,还是精心布局的「愚人节幽默」?BlockBeats 将继续跟踪报道事件进展。
