Після чергової пропозиції від команди zkLend щодо повернення вкрадених активів хакер, який порушив протокол, заявив, що переказав 2930 ETH (~5,4 мільйона доларів) на шахрайський веб-сайт Tornado Cash.
Джерело: Etherscan.
Внаслідок події 12 лютого ініціатива L2, що базується на Starknet, зазнала збитків у розмірі приблизно 3666 ETH (9,6 мільйона доларів на той момент). Зловмиснику негайно запропонували повернути кошти в обмін на 10% винагороди та звільнення від кримінального переслідування.
“Привіт, я спробував надіслати кошти на Tornado, але помилково скористався фішинговим сайтом і втратив усе. Я розбитий серцем. Я глибоко шкодую про шкоду та втрати. Усі 2930 ETH забрали власники цього сайту. У мене немає монет”, – повідомив хакер у відповідь на запит команди zkLend 31 березня.
Хакер рекомендував «перенаправити» зусилля на відновлення активів у операторів фішингового сайту замість нього.
Транзакції, під час яких хакер нібито втратив монети, перевірили дослідник кібербезпеки, відомий як Vladimir S, і кілька інших аналітиків, включаючи адміністратора X-облікового запису TornadoCashBot.
Схоже, що 2930 ETH, вилучені з @zkLend, було внесено на фішинговий веб-сайт під виглядом TornadoCash, і оператори фішингового сайту швидко забрали їх.
H/T @TornadoCashBot
— Володимир С Записки офіцера (@officer_cia) 31 березня 2025 р.
Однак останній припустив, що хакер zkLend і власник фальшивої Tornado Cash можуть бути однією особою. Принаймні обидва використовували ту саму адресу ENS safe-relayer.eth.
🚨🚨Я виявив дещо інтригуюче. Особа, яка вкрала з zkLend і фішингового веб-сайту, який імітує TornadoCash, може бути однією особою. @zkLend @officer_cia @im23pds
1. ENS safe-relayer.eth було позначено на etherscan. Ми можемо відстежити це через журнали передачі цього ENS pic.twitter.com/0M33MNGBl9— TornadoCashBot (@TornadoCashBot) 1 квітня 2025 р.
За словами експерта, сайт з доменом tornadorth[.]cash з’являється в Telegram-чаті платформи змішування з 2024 року і привернув увагу. Адреса safe-relayer.eth була зареєстрована в коді фішингової платформи як ретранслятор, тоді як сервіс автентичного змішування в цій ситуації використовує динамічний реєстр.
«Оскільки вихідний код шахрайського веб-сайту видалив safe-relayer.eth, і він продовжує через нього виводити кошти з Tornado Cash, цілком імовірно, що саме хакер скомпрометував zkLend», — зробив висновок експерт.
Розробники протоколу L2 підтвердили активне переміщення активів, захоплених зловмисником за останні 24 години.
Вони заявили, що фішинговий сайт працює щонайменше п’ять років, але наразі у них немає остаточних доказів зв’язку сайту з хакером. Команда zkLend включила пов’язані з нею адреси у свої зусилля для відстеження коштів.
Варто зазначити, що в березні трейдер втратив $1,82 млн USDC на Compound після схвалення фішингової транзакції.
