Sau hàng loạt biến cố, zkLend chính thức đóng cửa, mở quỹ đền bù 200.000 USD cho người dùng và công bố mã nguồn để cộng đồng tiếp tục phát triển.
zkLend tuyên bố ngừng hoạt động sau vụ hack 9,6 triệu USD
Ngày 25/06/2025, dự án zkLend (ZEND) – giao thức lending xây dựng trên StarkNet – thông báo chấm dứt hoạt động. Đội ngũ cho biết, lý do đến từ việc mất niềm tin cộng đồng sau vụ hack trị giá 9,6 triệu USD và việc token ZEND bị gỡ niêm yết khỏi các sàn lớn như Bybit và KuCoin, khiến thanh khoản sụt giảm nghiêm trọng.
Thay vì tiếp tục phát triển sản phẩm, zkLend sẽ sử dụng 200.000 USD còn lại trong ngân sách để thành lập một quỹ phục hồi người dùng. Các cổng DeFi Spring, Recovery và kSTRK vẫn tiếp tục duy trì để người dùng unstake và nhận phần thưởng.
Ngoài ra, mã nguồn đã được kiểm toán của zkLend cũng sẽ được công khai trong thời gian tới nhằm hỗ trợ cộng đồng có thể tiếp tục phát triển sản phẩm. Đội ngũ xác nhận họ vẫn đang phối hợp với nhóm điều tra zeroShadow để truy vết khoản tiền bị đánh cắp.
Như Coin68 đưa tin, vào ngày 11/02/2025, hacker đã khai thác lỗi làm tròn số kết hợp với flashloan để tăng chỉ số tích lũy trong hệ thống zkLend. Tận dụng cơ chế này, hắn liên tục nạp/rút, trục lợi hàng triệu USD và sau đó chuyển toàn bộ tài sản sang Ethereum, sử dụng công cụ ẩn danh Railgun nhằm rửa tiền. Tuy nhiên, cơ chế của Railgun đã trả lại tiền về ví ban đầu, khiến hắn phải tìm cách khác để hợp thức hóa số tiền này.
Trước tình thế đó, zkLend đề nghị hacker giữ lại 10% như một khoản thưởng bounty và sẽ không truy cứu pháp lý nếu hoàn trả phần còn lại. Hết hạn phản hồi, hắn vẫn phớt lờ. Đến ngày 19/02, zkLend đã treo thưởng 500.000 USD cho bất kỳ ai cung cấp thông tin giúp bắt giữ hacker và thu hồi số tiền bị đánh cắp.
Nhưng bất ngờ chưa dừng lại ở đó. Gần hai tháng sau vụ tấn công, hacker này lại trở thành… nạn nhân của chính mình.
Ngày 01/04/2025, hacker zkLend đã đăng lời thú tội công khai lên Etherscan, cho biết đã đánh mất 2.930 ETH (tương đương 5,4 triệu USD) do nhầm trang Tornado Cash giả mạo. Trong tin nhắn, hắn thể hiện sự tuyệt vọng và “xin lỗi cộng đồng vì những tổn thất gây ra”.
Tuy nhiên, cộng đồng on-chain nhanh chóng nghi ngờ đây là màn kịch tự đạo diễn nhằm đánh lạc hướng truy vết. Các bằng chứng kỹ thuật cho thấy trang Tornado giả được gắn hard-code ENS safe-relayer.eth — một dấu hiệu bất thường trái ngược với cấu trúc của Tornado thật vốn dùng Relayer Registry.
Đáng nói, safe-relayer.eth bị xoá khỏi mã nguồn ngay sau sự việc, nhưng vẫn được dùng rút tiền. Điều này cho thấy hacker và “kẻ lừa đảo” có thể là cùng một người — như một chiêu thức rửa tiền tinh vi ngụy trang dưới hình thức “mất tiền do lừa đảo”.
Dù hacker than thở là “nạn nhân”, zkLend không tỏ ra đồng cảm và thẳng thắn yêu cầu hắn hoàn trả số tiền còn lại. Tuy nhiên, tên này vẫn chuyển tiếp 25 ETH sang ví khác có tên Chainflip1, cho thấy chưa có ý định dừng lại.
Coin68 tổng hợp
