مخترق ZKLend يفقد جميع أمواله بسبب موقع تصيد احتيالي ينتحل صفة Tornado Cash

يدّعي المخترق الذي استولى على 2930 إيثيريوم من بروتوكول ZK Lend أنه خسر جميع أمواله لصالح شخص آخر فاسد. وبدلاً من إرسال الإيثيريوم إلى منصة Tornado Cash، يدّعي المخترق أن جميع الأموال أُرسلت إلى موقع ويب احتيالي.

يُزعم أن عنوان المخترق الذي سرق 2930 إيثيريوم من ZKLend قد تعرض للاختراق بدوره. وعلّق صاحب المحفظة عبر موقع Etherscan، مدعيًا أن الأموال سُرقت من موقع تصيّد احتيالي بدلًا من Tornado Cash. تُقدّر قيمة الإيثيريوم المسروق بحوالي 5.5 مليون دولار أمريكي اعتبارًا من 1 أبريل.

كانت شركة ZKLend تتفاوض مع المخترق لاستعادة معظم الأموال مقابل مكافأة قدرها 10%. كانت العناوين معروفة، وكان المشروع على تواصل مستمر مع المخترق حتى اللحظة الأخيرة. في النهاية، ادعى المخترق أن الأموال لم تعد في العنوان الأصلي، وأن جهة خبيثة أخرى قد استولت عليها. 

تواصل المخترق بنفس طريقة فريق ZKLend - من خلال إصدار معاملة بقيمة صفر ETH ورسالة مرفقة. 

فريق ZKLend أعلن أنه لا يوجد دليل قاطع على فقدان المخترق السيطرة على جميع الأموال. وأشار الفريق إلى أن الأموال أُرسلت إلى عنوان مرتبط بموقع إلكتروني مزيف نشط منذ خمس سنوات. لا يوجد دليل قاطع يربط مستغل البروتوكول بأصحاب محافظ الموقع المزيف، لكن محققي سلسلة الكتل وجدوا مؤشرات تدل على أن الجهة نفسها قد تكون مسؤولة عن كلا الاختراقين.

لم يتخلَّ بروتوكول الإقراض عن tracالإيثيريوم المفقود، بل أضاف عنوان الثغرة الجديد إلى قائمة أهدافه. ويتعاون بروتوكول ZKLend مع منصات التداول المركزية، مع وجود طرق لامركزية أخرى لإخفاء الأموال. 

يشتبه المحققون في أن المخترق قد زوّر خسارة عملة الإيثيريوم

تشير الادعاءات المفاجئة بوجود ثغرة أخرى، وما تلاها من عملية خلط فورية، إلى احتمال ارتباط المخترق بموقع التصيد الاحتيالي. على أي حال، بات من شبه المستحيل tracعملات الإيثيريوم، وقد يحتفظ المخترق بها بعد عملية الخلط. ويعتقد محققو سلسلة الكتل أن معاملة الإيثيريوم ما هي إلا مزحة مبكرة بمناسبة كذبة أبريل، إذ لم يذكر المخترق موقع التصيد الاحتيالي بالتحديد، واستخدمت المعاملة مسارًا آخر للوصول إلى منصة تورنادو Cash. 

وبحسب محققي سلسلة الكتل، فإن الأموال المسروقة استخدمت عنوانًا وهميًا Ethereum ، ولم يتم إرسالها مباشرة إلى أحد مواقع تورنادو Cash المزيفة. 

تورنادوCashDAO:
تم تصميم zklend من أجل الحصول على أفضل النتائج من خلال توفير الأمان الآمن لـsafe-relayer.et. h中继器取款،并不是因为钓鱼،黑客为同一人 https://t.co/FEd22QY9Ph

– 法希姆 (Faith_Blo) 1 أبريل 2025

حذرت منصة تورنادو Cash نفسها من مواقع مزيفة محتملة، وهي مواقع معروفة على نطاق واسع ومن المستبعد جدًا أن يخطئ فيها مخترق Ethereum . لاحظ محققو الشبكة أن الموقع المعني هو على الأرجحcash، وليسcash. 

قبل تحويل الجزء الأكبر من عملة الإيثيريوم المسروقة، قام المخترق بتحويل مبالغ أصغر وحاول خلطها دون وسيط. لاحظ فريق ZKLend هذا النشاط، واستمر في إبلاغ منصات التداول المركزية والبروتوكولات بجميع العناوين الجديدة المرتبطة بالاختراق. 

هل يمكن tracأموال ZKLend؟

بعد عملية المزج، قد لا يكون من السهل tracمبلغ 2930 إيثيريوم. مع ذلك، يُجري محققو سلسلة الكتل ربطًا مبدئيًا بين المخترق وموقع تورنادوCash المزيف. 

لاحظ محقق متخصص في تحليل بيانات الشبكة أن عملية القرصنة تمت عبر Ethereum مخصص، وهو safe-relayer.eth. وقد سبق أن تم تضمين هذا العنوان نفسه في أحد مواقع TornadoCash . وقد رصد المحققون إصدارات شفرة الموقع، ولاحظوا ظهور safe-relayer.eth لفترة من الوقت في عام 2024.

اعتبارًا من 31 مارس، تم حذف عنوان safe-relayer.eth من الموقع. هذا يعني أن جميع عمليات الاحتيال تمر عبر محفظة وسيطة أخرى. 

مع ذلك، استمر المخترق في استخدام موقع safe-relayer.eth، حتى دون أن يطلب منه الموقع ذلك. دفع هذا المحققين إلى الاعتقاد بأن المخترق أراد إخفاء trac، وأنه ربما كان يتحكم في موقع safe-relayer.eth ومؤلف الموقع المزيف. 

في النهايةcash بدلاً من إخفاء الأموال، أدى استغلال ثغرة ZKLend إلى زيادة التدقيق على موقع tornadoeth.cash ومالكيه المحتملين. وقد تكون محاولة التستر على tracالمخترق قد كشفت عن شبكة أوسع من الجهات الخبيثة.