Хакер, взломавший zkLend, утверждает, что потерял украденные средства

В результате кражи у проекта zkLend хакер заявил о потере 2930 ETH из-за фишингового сайта. Эксперты подозревают связь злоумышленника с владельцем поддельного Tornado Cash.

📅 1-04-2025, 18:51 👁️ 124

👤 Андрей Текстов

Фото: forklog

Ответ хакера на предложение команды zkLend вернуть украденные средства удивил многих. Он отметил, что отправил 2930 ETH (~$5,4 млн) на фишинговый ресурс под названием Tornado Cash.

После инцидента, произошедшего 12 февраля, проект L2 на базе Starknet понес убытки на сумму около 3666 ETH (примерно $9,6 млн на тот момент). В ответ на это злоумышленнику предложили вернуть активы, предложив 10% от суммы в качестве вознаграждения и обещание не преследовать его.

«Привет, я пытался перевести средства в Tornado, но использовал фишинговый веб-сайт и все потерял. Я опустошен. Я ужасно сожалею о принесенных разрушениях и потерях. Все 2930 ETH были взяты владельцами этой площадки. У меня нет монет», — написал хакер в ответ на обращение команды zkLend 31 марта.

Хакер

Злоумышленник также посоветовал команде «перенаправить усилия» по возврату средств на операторов фишингового сайта.

Кибербезопасной исследователь Владимир S и несколько других специалистов подтвердили транзакции, в которых хакер якобы потерял свои монеты.

It seems that the 2,930 ETH stolen from @zkLend was deposited into Phishing website imitating TornadoCash and was immediately taken away by the phishing website’s operators.

H/T @TornadoCashBot
— Vladimir S. | Officer's Notes (@officer_cia) March 31, 2025

Тем не менее, администратор X-аккаунта TornadoCashBot высказал подозрения о том, что хакер zkLend и владелец поддельного Tornado Cash могут быть одним и тем же человеком. Обе стороны, как минимум, использовали один и тот же адрес ENS safe-relayer.eth.

🚨🚨I found something interesting. The person who stole zklend and the phishing website imitating TornadoCash may be the same person.@zkLend @officer_cia @im23pds
1. The ENS safe-relayer.eth has been marked on etherscan. We can track it through the transfer records of this ENS pic.twitter.com/0M33MNGBl9
— TornadoCashBot (@TornadoCashBot) April 1, 2025

Эксперты отмечают, что сайт с доменом tornadorth[.]cash упоминается в Telegram-чате платформы микширования с 2024 года, что вызывает подозрения. Адрес safe-relayer.eth был указан в коде фишинговой платформы как ретранслятор, тогда как оригинальный сервис использует динамический реестр.

«Поскольку исходный код мошеннического сайта удалил safe-relayer.eth, а он продолжает выводить средства через Tornado Cash, возможно, это и есть взломавший zkLend хакер», — подытожил эксперт.

Эксперт по кибербезопасности

Разработчики L2-протокола подтвердили активные перемещения украденных активов в последние сутки.

По их информации, фишинговый сайт функционирует уже более пяти лет, однако у них нет убедительных доказательств его связи с хакером. Команда zkLend добавила связанные адреса в список для отслеживания средств.

Напоминаем, что в марте трейдер потерял $1,82 млн в USDC на Compound, подписав фишинговую транзакцию.