В ответ на очередное предложение команды zkLend вернуть украденные средства, взломавший протокол хакер сообщил, что отправил 2930 ETH (~$5,4 млн) на фейковый сайт Tornado Cash.
Данные: Etherscan.
В результате инцидента 12 февраля L2-проект на базе Starknet потерял ~3666 ETH ($9,6 млн на тот момент). Злоумышленнику сразу же предложили вернуть активы за вознаграждение в 10% от суммы и отказ от преследования.
«Привет, я пытался перевести средства в Tornado, но использовал фишинговый веб-сайт и все потерял. Я опустошен. Я ужасно сожалею о принесенных разрушениях и потерях. Все 2930 ETH были взяты владельцами этой площадки. У меня нет монет», — написал хакер в ответ на обращение команды zkLend 31 марта.
Злоумышленник посоветовал «перенаправить усилия» по возврату активов с него на операторов фишингового сайта.
Транзакции, в которых хакер якобы потерял монеты, подтвердил исследователь в области кибербезопасности под ником Vladimir S и ряд других специалистов, включая администратора X-аккаунта TornadoCashBot.
It seems that the 2,930 ETH stolen from @zkLend was deposited into Phishing website imitating TornadoCash and was immediately taken away by the phishing website’s operators.H/T @TornadoCashBot— Vladimir S. | Officer's Notes (@officer_cia) March 31, 2025
Однако последний предположил, что взломщик zkLend и владелец фейкового Tornado Cash могут быть одним человеком. По меньшей мере оба использовали один ENS-адрес safe-relayer.eth.
🚨🚨I found something interesting. The person who stole zklend and the phishing website imitating TornadoCash may be the same person.@zkLend @officer_cia @im23pds1. The ENS safe-relayer.eth has been marked on etherscan. We can track it through the transfer records of this ENS pic.twitter.com/0M33MNGBl9— TornadoCashBot (@TornadoCashBot) April 1, 2025
По словам эксперта, площадка с доменом tornadorth[.]cash фигурировала в Telegram-чате платформы микширования с 2024 года и обратила на себя внимание. Адрес safe-relayer.eth был прописан в коде фишинговой платформы в качестве ретранслятора, хотя оригинальный сервис микширования в этом случае использует динамический реестр.
«Поскольку исходный код мошеннического сайта удалил safe-relayer.eth, а он по-прежнему выводит через него средства из Tornado Cash, то, возможно, и является взломавшим zkLend хакером», — заключил эксперт.
Разработчики L2-протокола подтвердили активное перемещение в последние сутки украденных злоумышленником активов.
По их данным, фишинговый сайт работает не менее пяти лет, но у них сейчас нет убедительных доказательств взаимодействия площадки с хакером. Команда zkLend включила связанные с ней адреса в меры по отслеживанию средств.
Напомним, в марте трейдер потерял $1,82 млн в USDC на Compound, подписав фишинговую транзакцию.
