Le pirate derrière l'exploit de 9,6 millions de dollars du protocole de prêts d'argent décentralisé Zklend en février affirme qu'il vient d'être victime d'un site Web de phishing

Le pirate derrière l'exploit de 9,6 millions de dollars du protocole de prêts d'argent décentralisé Zklend en février affirme qu'il vient d'être victime d'un site Web de phishing

The hacker who exploited decentralized money-lending protocol zkLend for $9.6 million in February claims to have fallen victim to a phishing website impersonating Tornado Cash.

Le pirate qui a exploité le protocole de prêts d'argent décentralisé Zklend pour 9,6 millions de dollars en février prétend avoir été victime d'un site Web de phishing qui a usurpé l'empilement de la tornade.

The exploiter lost 2,930 Ether (ETH) from the stolen funds to the phishing website, according to a message sent to zkLend on Etherscan on March 31.

L'exploiteur a perdu 2 930 éther (ETH) des fonds volés au site Web de phishing, selon un message envoyé à Zklend sur Etherscan le 31 mars.

The zkLend thief sent 100 Ether at a time to an address named Tornado.Cash: Router in a series of March 31 transfers, finishing with three deposits of 10 Ether.

Le voleur Zklend a envoyé 100 éther à la fois à une adresse nommée Tornado.Cash: Router dans une série de transferts du 31 mars, terminant avec trois dépôts de 10 éther.

“Hello, I tried to move funds to a Tornado, but I used a phishing website, and all the funds have been lost. I am devastated. I am terribly sorry for all the havoc and losses caused,” the hacker said.

"Bonjour, j'ai essayé de déplacer des fonds dans une tornade, mais j'ai utilisé un site Web de phishing, et tous les fonds ont été perdus. Je suis dévasté. Je suis terriblement désolé pour tous les ravages et les pertes causées", a déclaré le pirate.

The hacker behind the zkLend exploit claims to have lost most of the funds to a phishing website posing as a front-end for Tornado Cash. Source: Etherscan

Le pirate derrière le Zklend Exploit prétend avoir perdu la plupart des fonds face à un site Web de phishing se faisant passer pour un front-end pour la tornado en espèces. Source: Etherscan

“All the 2,930 Eth have been taken by that site owners. I do not have coins. Please redirect your efforts towards those site owners to see if you can recover some of the money.”

«Tous les 2 930 ETH ont été pris par ces propriétaires de sites. Je n'ai pas de pièces. Veuillez rediriger vos efforts vers ces propriétaires de sites pour voir si vous pouvez récupérer une partie de l'argent.»

ZkLend responded by asking the hacker to “Return all the funds left in your wallets” to the zkLend wallet address. However, another 25 Ether was then sent to a wallet listed as Chainflip1.

Zklend a répondu en demandant au pirate de «retourner tous les fonds laissés dans vos portefeuilles» à l'adresse du portefeuille Zklend. Cependant, un autre 25 éther a ensuite été envoyé à un portefeuille répertorié comme Chainflip1.

Earlier, another user warned the exploiter about the error, telling them, “don’t celebrate,” because all the funds were sent to the scam Tornado Cash URL.

Plus tôt, un autre utilisateur a averti l'exploiteur de l'erreur, en leur disant: «Ne célébrez pas», car tous les fonds ont été envoyés à l'URL de trésorerie de l'escroquerie.

“It is so devastating. Everything gone with one wrong website.”

«C'est tellement dévastateur. Tout a disparu avec un mauvais site Web.»

Another user warned the zkLend exploiter about the mistake, but it was too late. Source: Etherscan

Un autre utilisateur a averti le Zklend Exploiter sur l'erreur, mais il était trop tard. Source: Etherscan

How zkLend was exploited for $9.6 million

Comment Zklend a été exploité pour 9,6 millions de dollars

ZkLend suffered an empty market exploit on Feb. 11 when an attacker used a small deposit and flash loans to inflate the lending accumulator, according to the protocol’s Feb. 14 post-mortem.

Zklend a subi un exploit de marché vide le 11 février lorsqu'un attaquant a utilisé un petit dépôt et des prêts flash pour gonfler l'accumulateur de prêt, selon le 14 février du protocole après le mortem.

The hacker then repeatedly deposited and withdrew funds, exploiting rounding errors that became significant due to the inflated accumulator.

Le pirate a ensuite déposé à plusieurs reprises et a retiré des fonds, exploitant des erreurs d'arrondi qui sont devenues significatives en raison de l'accumulateur gonflé.

The attacker bridged the stolen funds to Ethereum and later failed to launder them through Railgun after protocol policies returned them to the original address.

L'attaquant a comblé les fonds volés à Ethereum et n'a pas réussi à les laver via Railgun après que les politiques de protocole les aient retournées à l'adresse d'origine.

Following the exploit, zkLend proposed the hacker could keep 10% of the funds as a bounty and offered to release the culprit from legal liability and scrutiny from law enforcement if the remaining Ether was returned.

Après l'exploit, Zklend a proposé que le pirate pourrait conserver 10% des fonds en tant que prime et a proposé de libérer le coupable de la responsabilité juridique et de l'examen de l'application de la loi si l'éther restant était retourné.

Related: DeFi protocol SIR.trading loses entire $355K TVL in ‘worst news’ possible

Connexes: Protocole Defi Sir.Trading perd entièrement 355 000 $ TVL dans les `` pires nouvelles '' possible

The offer deadline of Feb. 14 passed with no public response from either party. In a Feb. 19 update to X, zkLend said it was now offering a $500,000 bounty for any verifiable information that could lead to the hacker being arrested and the funds recovered.

La date limite d'offre du 14 février a été adoptée sans réponse publique de l'une ou l'autre des parties. Dans une mise à jour du 19 février à X, Zklend a déclaré qu'elle offrait maintenant une prime de 500 000 $ pour toute information vérifiable qui pourrait entraîner l'arrestation du pirate et les fonds récupérés.

Losses to crypto scams, exploits and hacks totaled over $33 million, according to blockchain security firm CertiK, but dropped to $28 million after decentralized exchange aggregator 1inch successfully recovered its stolen funds.

Les pertes contre les escroqueries, les exploits et les hacks cryptographiques ont totalisé plus de 33 millions de dollars, selon la société de sécurité de la blockchain, mais sont tombés à 28 millions de dollars après que l'agrégateur d'échange décentralisé 1Inch a réussi à récupérer ses fonds volés.

Losses to crypto scams, exploits and hacks totaled nearly $1.53 billion in February. The $1.4 billion Feb. 21 attack on Bybit by North Korea’s Lazarus Group made up the lion’s share and took the title for largest crypto hack ever, doubling the $650 million Ronin bridge hack in March 2022.

Les pertes contre les escroqueries, les exploits et les hacks cryptographiques ont totalisé près de 1,53 milliard de dollars en février. L'attaque de 1,4 milliard de dollars le 21 février contre le bordeau du groupe de Lazare en Corée du Nord a constitué la part du lion et a remporté le titre pour le plus grand piratage de cryptographie, doublant le piratage de 650 millions de dollars Ronin Bridge en mars 2022.