Хакер zkLend раскрыл детали потери 2930 ETH из-за фишинга и намекнул на связь с мошенническим сайтом

В ответ на новое предложение команды zkLend вернуть похищенные средства, хакер, атаковавший протокол, сообщил, что перевел 2930 ETH (приблизительно $5,4 млн) на поддельный сайт Tornado Cash.

В ходе инцидента, произошедшего 12 февраля, L2-проект, основанный на Starknet, потерял около 3666 ETH ($9,6 млн на тот момент). Злоумышленнику было предложено вернуть активы за вознаграждение в размере 10% от суммы и защиту от преследования.

В ответ на обращение команды zkLend 31 марта он написал: «Привет, я попытался перевести средства через Tornado, но попал на фишинговый сайт и потерял всё. Я в полном отчаянии и искренне жалею о причиненном ущербе. Все 2930 ETH были украдены с этого сайта. У меня нет монет».

Хакер порекомендовал команде «направить усилия» по возврату средств на операторов поддельного сайта.

Исследователь кибербезопасности под ником Vladimir S и другие специалисты, включая администратора аккаунта TornadoCashBot в X, подтвердили, что хакер мог потерять свои средства в представленных им транзакциях.

Однако последний предположил, что взломщики zkLend и владельцы фальшивого Tornado Cash могут быть одной и той же личностью, так как оба использовали один ENS-адрес safe-relayer.eth.

По мнению эксперта, сайт с доменом tornadorth[.]cash упоминался в Telegram-чате платформы микширования с 2024 года и привлекал внимание. Адрес safe-relayer.eth был указан в коде фишинговой площадки как ретранслятор, в то время как оригинальный сервис микширования использует динамический реестр.

«Поскольку исходный код мошеннического сайта сохранил safe-relayer.eth, и средства по-прежнему выводятся через него из Tornado Cash, возможно, это и есть хакер, атакующий zkLend», — заключил эксперт.

Разработчики L2-протокола подтвердили активное перемещение похищенных активов в последние сутки.

Согласно их данным, фишинговый сайт функционирует более пяти лет, однако в настоящее время у них нет убедительных доказательств связи площадки с хакером. Команда zkLend добавила связанные адреса в свои меры по отслеживанию средств.

Напоминаем, в марте трейдер потерял $1,82 млн в USDC на платформе Compound, подписав фальшивую транзакцию.