Взломщик zkLend заявил о потере 2930 ETH на фишинговом сайте

В ответ на очередное предложение команды zkLend вернуть украденные средства, взломавший протокол хакер сообщил, что отправил 2930 ETH (~$5,4 млн) на фейковый сайт Tornado Cash.

Данные: Etherscan.

В результате инцидента 12 февраля L2-проект на базе Starknet потерял ~3666 ETH ($9,6 млн на тот момент). Злоумышленнику сразу же предложили вернуть активы за вознаграждение в 10% от суммы и отказ от преследования.

«Привет, я пытался перевести средства в Tornado, но использовал фишинговый веб-сайт и все потерял. Я опустошен. Я ужасно сожалею о принесенных разрушениях и потерях. Все 2930 ETH были взяты владельцами этой площадки. У меня нет монет», — написал хакер в ответ на обращение команды zkLend 31 марта.

Злоумышленник посоветовал «перенаправить усилия» по возврату активов с него на операторов фишингового сайта.

Транзакции, в которых хакер якобы потерял монеты, подтвердил исследователь в области кибербезопасности под ником Vladimir S и ряд других специалистов, включая администратора X-аккаунта TornadoCashBot.

It seems that the 2,930 ETH stolen from @zkLend was deposited into Phishing website imitating TornadoCash and was immediately taken away by the phishing website’s operators.

H/T @TornadoCashBot

Однако последний предположил, что взломщик zkLend и владелец фейкового Tornado Cash могут быть одним человеком. По меньшей мере оба использовали один ENS-адрес safe-relayer.eth.

🚨🚨I found something interesting. The person who stole zklend and the phishing website imitating TornadoCash may be the same person.@zkLend @officer_cia @im23pds
1. The ENS safe-relayer.eth has been marked on etherscan. We can track it through the transfer records of this ENS pic.twitter.com/0M33MNGBl9

По словам эксперта, площадка с доменом tornadorth[.]cash фигурировала в Telegram-чате платформы микширования с 2024 года и обратил на себя внимание. Адрес safe-relayer.eth был прописан в коде фишинговой платформы в качестве ретранслятора, хотя оригинальный сервис микширования в этом случае использует динамический реестр.

«Поскольку исходный код мошеннического сайта удалил safe-relayer.eth, а он по-прежнему выводит через него средства из Tornado Cash, то, возможно, и является взломавшим zkLend хакером», — заключил эксперт.

Разработчики L2-протокола подтвердили активное перемещение в последние сутки украденных злоумышленником активов. 

По их данным, фишинговый сайт работает не менее пяти лет, но у них сейчас нет убедительных доказательств связи площадки с хакером. Команда zkLend включила связанные с ней адреса в меры по отслеживанию средств.

Напомним, в марте трейдер потерял $1,82 млн в USDC на Compound, подписав фишинговую транзакцию.