愚人节「黑吃黑」：zkLend黑客误入钓鱼网站致千万资金被盗

今年愚人节的热点事件提前上演：一名黑客在盗取了2930枚ETH后，因误入一个伪装成Tornado Cash的钓鱼网站，导致全盘资金被盗。随后，这名黑客通过链上留言向zkLend项目方致歉，声称「崩溃了」，并恳请项目方追查钓鱼网站运营者以挽回损失。这究竟是因果报应的黑色幽默，还是黑客精心策划的障眼法？让我们一探究竟。

从攻击者到「受害者」

今年2月，基于Starknet网络的去中心化借贷协议zkLend遭遇了一场毁灭性攻击。黑客利用智能合约中的一个「四舍五入错误」漏洞，成功卷走3600枚ETH。事后，zkLend团队曾向黑客喊话，提出若归还90%（3300枚ETH），可保留10%作为「白帽赏金」，并免除法律追责。然而，黑客并未回应，而是将资金迅速转移至以太坊网络，并试图通过隐私协议Railgun洗钱。尽管Railgun强制返还了这笔资金，线索一度中断。

相关阅读：《500万美元被盗资金遭拒，混币器Railgun竟成DeFi协议「追款工具」？》

就在所有人以为这笔巨款已石沉大海时，4月1日，慢雾创始人余弦爆料了一则戏剧性转折：黑客改用Tornado Cash进一步混淆资金流向，却误点了一个伪装成Tornado Cash的钓鱼网站，结果2930枚ETH被一扫而空。

更令人意外的是，黑客随后通过链上留言主动联系zkLend，语气充满懊悔：「你好，我本想把资金转入Tornado Cash，但误用了一个钓鱼网站，结果所有资金都丢失了。我崩溃了。对由此造成的混乱和损失，我深感抱歉。2930枚ETH已全部被该网站的运营者夺走，我手上已经没有任何币了。请把精力转向那些网站运营者，看看是否能追回部分资金。这是我的最后一条消息，结束这一切或许是最好的选择。再次抱歉。」

这封「告白信」迅速在加密社区引发热议。留言中，黑客不仅承认了自己的错误，还流露出懊悔，甚至暗示可能「退出江湖」。然而，这份「真情流露」却让人不禁怀疑其真实性。

社区怎么看？

事件曝光后，有人戏称这是「黑客版的愚人节笑话」，感叹「出来混迟早要还」；也有人调侃「相当于，缅北电诈分子被街边电灯柱上的牛皮癣广告给骗了。」

除了围观吃瓜之外，还有社区成员指出，黑客也可能在自导自演一出闹剧，通过伪装成「受害者」转移视线，甚至可能与钓鱼网站运营者串通，以此洗白身份或掩盖资金去向。但根据余弦追踪，这个钓鱼网站已经潜伏5年，如果是这次的黑客自导自演，未免过于「有耐心」。目前来看，虽然黑客钱包确实已清空，但不排除其背后仍有隐藏账户。

截至发稿，zkLend官方尚未对黑客的留言作出正式回应。此前，项目方已于3月5日推出「恢复门户」，为受影响的用户提供部分赔偿，并承诺加强安全措施。

如今，zkLend被盗事件像是为加密世界上演了一出「黑吃黑」的戏码。黑客主动求助，是否会促使zkLend联合执法机构追查钓鱼网站？还是说这只是黑客「洗白」的障眼法？黑客的「悔过书」究竟是真心悔悟，还是精心布局的「愚人节幽默」？BlockBeats将继续跟踪报道事件进展。