2月の分散型マネーレンディングプロトコルZKLENDの960万ドルのエクスプロイトの背後にあるハッカーは、フィッシングWebサイトの犠牲になったばかりだと主張しています

2月の分散型マネーレンディングプロトコルZKLENDの960万ドルのエクスプロイトの背後にあるハッカーは、フィッシングWebサイトの犠牲になったばかりだと主張しています

The hacker who exploited decentralized money-lending protocol zkLend for $9.6 million in February claims to have fallen victim to a phishing website impersonating Tornado Cash.

2月に分散型のマネーレンディングプロトコルZKLENDを960万ドルで搾取したハッカーは、竜巻現金になりすましているフィッシングウェブサイトの犠牲になったと主張しています。

The exploiter lost 2,930 Ether (ETH) from the stolen funds to the phishing website, according to a message sent to zkLend on Etherscan on March 31.

3月31日にEtherscanのZklendに送信されたメッセージによると、Exploiterは盗まれた資金からフィッシングWebサイトに2,930エーテル（ETH）を失いました。

The zkLend thief sent 100 Ether at a time to an address named Tornado.Cash: Router in a series of March 31 transfers, finishing with three deposits of 10 Ether.

Zklend Thiefは、100エーテルを100エーテルに、Tornado.cash：Routerの3月31日の1シリーズで、10エーテルの3つの堆積物で仕上げました。

“Hello, I tried to move funds to a Tornado, but I used a phishing website, and all the funds have been lost. I am devastated. I am terribly sorry for all the havoc and losses caused,” the hacker said.

「こんにちは、私は資金を竜巻に移動しようとしましたが、フィッシングのウェブサイトを使用しましたが、すべての資金が失われました。私は荒廃しています。すべての大混乱と損失が生じたことを非常に残念に思います」とハッカーは言いました。

The hacker behind the zkLend exploit claims to have lost most of the funds to a phishing website posing as a front-end for Tornado Cash. Source: Etherscan

Zklend Exploitの背後にあるハッカーは、Tornadoの現金のフロントエンドとしてポーズをとるフィッシングWebサイトにほとんどの資金を失ったと主張しています。出典：Etherscan

“All the 2,930 Eth have been taken by that site owners. I do not have coins. Please redirect your efforts towards those site owners to see if you can recover some of the money.”

「2,930のETHはすべて、そのサイトの所有者によって採用されています。私はコインを持っていません。これらの所有者に努力をリダイレクトして、お金の一部を回収できるかどうかを確認してください。」

ZkLend responded by asking the hacker to “Return all the funds left in your wallets” to the zkLend wallet address. However, another 25 Ether was then sent to a wallet listed as Chainflip1.

Zklendは、ハッカーに「ウォレットに残ったすべての資金を返す」ようにZklendウォレットアドレスに依頼することで応答しました。ただし、その後、別の25エーテルがChainFlip1としてリストされたウォレットに送られました。

Earlier, another user warned the exploiter about the error, telling them, “don’t celebrate,” because all the funds were sent to the scam Tornado Cash URL.

先に、別のユーザーがエスパロイターにエラーについて警告し、すべての資金が詐欺竜巻キャッシュURLに送られたため、「祝わないで」と言った。

“It is so devastating. Everything gone with one wrong website.”

「それはとても壊滅的です。すべてが間違ったウェブサイトでなくなっています。」

Another user warned the zkLend exploiter about the mistake, but it was too late. Source: Etherscan

別のユーザーは、Zklend Exploiterに間違いについて警告しましたが、手遅れでした。出典：Etherscan

How zkLend was exploited for $9.6 million

Zklendが960万ドルでどのように悪用されたか

ZkLend suffered an empty market exploit on Feb. 11 when an attacker used a small deposit and flash loans to inflate the lending accumulator, according to the protocol’s Feb. 14 post-mortem.

プロトコルの2月14日の事後によると、Zklendは2月11日に攻撃者が少量の預金とフラッシュローンを使用して貸出アキュムレータを膨らませたときに、空の市場のエクスプロイトに苦しみました。

The hacker then repeatedly deposited and withdrew funds, exploiting rounding errors that became significant due to the inflated accumulator.

その後、ハッカーは繰り返し堆積して資金を撤回し、膨らんだアキュムレータのために重要になった丸めエラーを活用しました。

The attacker bridged the stolen funds to Ethereum and later failed to launder them through Railgun after protocol policies returned them to the original address.

攻撃者は、盗まれた資金をイーサリアムに埋め、後にプロトコルポリシーが元の住所に戻した後、レールガンを通じてそれらを洗濯することに失敗しました。

Following the exploit, zkLend proposed the hacker could keep 10% of the funds as a bounty and offered to release the culprit from legal liability and scrutiny from law enforcement if the remaining Ether was returned.

エクスプロイトの後、Zklendは、ハッカーが資金の10％を賞金として維持できることを提案し、残りのエーテルが返された場合、法執行機関からの法的責任と精査から犯人を解放することを提案しました。

Related: DeFi protocol SIR.trading loses entire $355K TVL in ‘worst news’ possible

関連：Defi Protocol Sir。

The offer deadline of Feb. 14 passed with no public response from either party. In a Feb. 19 update to X, zkLend said it was now offering a $500,000 bounty for any verifiable information that could lead to the hacker being arrested and the funds recovered.

2月14日の申し出の締め切りは、どちらの当事者からの公的な対応なしで可決されました。 Xklendの2月19日の更新で、Zklendは、ハッカーが逮捕され、資金が回収される可能性のある検証可能な情報に対して500,000ドルの報奨金を提供していると述べました。

Losses to crypto scams, exploits and hacks totaled over $33 million, according to blockchain security firm CertiK, but dropped to $28 million after decentralized exchange aggregator 1inch successfully recovered its stolen funds.

ブロックチェーンセキュリティ会社Certikによると、Crypto Scams、Exploits and Hacksの損失は3,300万ドルを超えましたが、分散型Exchange Aggregator 1inchが盗まれた資金を回収した後、2,800万ドルに低下しました。

Losses to crypto scams, exploits and hacks totaled nearly $1.53 billion in February. The $1.4 billion Feb. 21 attack on Bybit by North Korea’s Lazarus Group made up the lion’s share and took the title for largest crypto hack ever, doubling the $650 million Ronin bridge hack in March 2022.

暗号詐欺、エクスプロイト、ハッキングの損失は、2月に合計15億3,000万ドル近くでした。北朝鮮のラザログループによる2月21日のバイビットへの攻撃14億ドルは、ライオンのシェアを構成し、史上最大の暗号ハックのタイトルを獲得し、2022年3月に6億5,000万ドルのロニンブリッジハックを2倍にしました。