zkLend駭客反遭釣魚「錢全被釣魚站捲走了」，2,930枚ETH誤轉假Tornado Cash

zkLend駭客向協議發送鏈上訊息，聲稱因誤用假冒Tornado Cash網站，2,930枚ETH（540萬美元）遭釣魚詐騙，剩餘25 ETH轉至未知錢包。zkLend駭客曾於2月利用漏洞盜取960萬美元，zkLend提出「歸還90%可免責」，但協商破局後懸賞50萬美元追緝。

zkLend駭客反成受害者 540萬美元ETH遭釣魚

去中心化借貸協議zkLend於3月31日接獲駭客鏈上訊息，稱其透過假冒的Tornado Cash前端網站試圖洗錢時，2,930枚ETH（約540萬美元）遭釣魚詐騙。

駭客寫道：「我徹底崩潰了，資金全被網站所有者捲走，請向他們追討。」此前駭客於2月11日利用協議漏洞盜取960萬美元，zkLend曾提出「歸還90%即免責」協議，但協商未果。

漏洞手法：閃電貸放大「四捨五入」誤差

根據zkLend 2月14日的事後報告，駭客透過微量存款與閃電貸，操縱借貸累加器數值，再利用「存款-提款」循環放大四捨五入誤差，最終盜取資金。得手後駭客試圖透過跨鏈橋與混幣器Railgun洗錢，但因協議風控機制失敗，資金被迫退回原地址。

鏈上記錄顯示，駭客於3月31日分30筆（100 ETH/筆）與3筆（10 ETH/筆）將資金轉至假冒Tornado Cash地址，合計2,930 ETH遭竊。zkLend要求歸還剩餘資金，但駭客隨後將25 ETH轉至「Chainflip1」錢包，用途不明。