- zkLend 해킹 시작
- 사기꾼에서 피해자로?
zkLend 해킹 시작
2025년 2월 12일 새벽, StarkNet 네트워크의 탈중앙화 대출 프로토콜 zkLend가 심각한 사이버 공격의 피해자가 되어 약 3.666 이더리움(ETH), 약 950만 달러 상당의 피해를 입었습니다.
해커는 zkLend의 wstETH 파생 토큰 대출 시장의 취약점을 악용했습니다. 이 약점을 이용해 공격자는 어떤 대출도 실행하지 않고 wstETH 유동성 풀의 자금을 고갈시켰습니다. 이후 훔친 자금은 이더리움(ETH) 네트워크로 브릿지를 통해 이동하고 프라이버시에 중점을 둔 Railgun 서비스로 전송되었습니다.
사건 발생 직후 zkLend는 출금 기능을 중단하고 추가 공지가 있을 때까지 자금 예치 및 상환을 하지 말 것을 사용자에게 권고했습니다. 프로젝트 팀은 해커에게 공개적으로 연락하여, 나머지 90%(약 3,300 이더리움(ETH))를 지정된 이더리움(ETH) 지갑 주소로 반환할 경우 10%를 현상금으로 유지할 것을 제안했습니다. 2025년 2월 14일 00:00 UTC 이전에 해커가 협조할 경우 법적 조치를 취하지 않겠다고 약속했습니다.
공격 후 zkLend의 Total Value Locked(TVL)는 1,157만 달러에서 117만 달러로 급격히 감소했습니다. 그러나 ZEND 토큰 가격은 13.5% 소폭 하락하여 0.036 달러 근처에서 거래되었습니다.
사기꾼에서 피해자로?
zkLend에서 훔친 2,930 이더리움(ETH)이 Tornado Cash를 모방한 피싱 웹사이트에 예치되어 즉시 피싱 웹사이트 운영자에게 빼앗겼습니다.
해커가 훔친 이더리움(ETH)을 Tornado Cash로 세탁하려 했으나 치명적인 실수를 저질렀습니다: Tornado Cash를 모방한 피싱 사이트를 잘못 클릭한 것입니다. 결과적으로 전체 2,930 이더리움(ETH)이 순식간에 증발해 다른 사기꾼의 계정으로 날아갔습니다.
자신이 보복을 당했음을 깨달은 zkLend 해커는 온체인 거래를 통해 zkLend에 도움을 요청하는 심정 편지를 보내기로 결심했습니다. 하지만 이 편지는 즉시 유출되어 암호화폐 커뮤니티의 웃음거리가 되었습니다.
예상치 못한 반전으로, zkLend는 해커에게 나머지 자금 반환을 요구했고, 해커는 아직 충격에서 벗어나지 못한 듯 최종적으로 25.15 이더리움(ETH)을 반환하기로 결정했습니다.
시스템 취약점을 이용해 타인의 자산을 훔치려던 해커는 결국 더 교묘한 사기꾼의 피해자가 되었습니다.
zkLend의 사건은 공격자조차 다른 사기 행위의 피해자가 될 수 있음을 보여주는 증거입니다. 이는 암호화폐 커뮤니티의 윤리와 책임에 대한 질문을 제기하고, 경계심 유지와 엄격한 보안 조치의 중요성을 강조합니다.
VIC Crypto 종합
관련 뉴스:
레이디움(Raydium) 밈(meme) 코인 출시 플랫폼을 pump.fun과 경쟁하기 위해 출시
PumpSwap, 출시 10일 만에 25억 달러 거래량으로 화제
Canary Capital, Pudgy Penguins NFT 프로젝트의 PENGU를 위한 최초 ETF 출시 신청
