ZKLend-Hacker verliert sein gesamtes Guthaben durch Phishing-Seite, die Tornado Cash nachahmt

Der Hacker, der 2.930 ETH vom ZK Lend-Protokoll erbeutet hat, behauptet, das gesamte Geld an einen anderen Betrüger verloren zu haben. Anstatt die ETH an Tornado Cashzu senden, sollen sie laut seinen Angaben auf einer Phishing-Website gelandet sein.

Die Hackeradresse, die 2.930 ETH von ZKLend gestohlen hatte, wurde angeblich selbst gehackt. Der Wallet-Besitzer kommentierte auf Etherscan, dass die Gelder an eine Phishing-Seite und nicht an Tornado Cashverloren gegangen seien. Der Wert der gestohlenen ETH wird am 1. April auf rund 5,5 Millionen US-Dollar geschätzt.

ZKLend verhandelte mit dem Hacker, um den Großteil der Gelder gegen eine Belohnung von 10 % zurückzuerhalten. Die Adressen waren bekannt, und das Projekt stand bis zuletzt in engem Kontakt mit dem Angreifer. Schließlich behauptete der Hacker, die Gelder befänden sich nicht mehr an der ursprünglichen Adresse, sondern seien von einem anderen Angreifer entwendet worden. 

Der Hacker kommunizierte auf die gleiche Weise wie das ZKLend-Team – indem er eine On-Chain -Transaktion mit null ETH und einer angehängten Nachricht ausführte. 

Das ZKLend-Team erklärte, es gebe keine eindeutigen Beweise dafür, dass der Hacker die Kontrolle über alle Gelder verloren habe. Das Team merkte an, dass die Gelder an eine Adresse gesendet wurden, die mit einer seit fünf Jahren aktiven Spoofing-Website verknüpft ist. Es gibt keine eindeutigen Beweise, die den Protokoll-Exploiter mit den Betreibern der Wallets der Spoofing-Website in Verbindung bringen, aber On-Chain-Ermittler haben Hinweise darauf gefunden, dass dieselbe Entität für beide Hacks verantwortlich sein könnte.

Das Kreditprotokoll hat die tracnach den verlorenen ETH nicht aufgegeben und die neue Zieladresse des Exploits ins Visier genommen. Das ZKLend-Protokoll kooperiert mit zentralisierten Börsen, es gibt aber auch dezentrale Möglichkeiten, die Gelder zu verschleiern. 

Die Ermittler vermuten, dass der Hacker den ETH-Verlust vorgetäuscht hat

Die plötzlichen Behauptungen über einen weiteren Angriff, gefolgt von der sofortigen Vermischung der Coins, deuten ebenfalls darauf hin, dass der Hacker mit der Phishing-Seite in Verbindung stehen könnte. In jedem Fall sind die ETH-Coins nun praktisch nicht mehr trac, und der Hacker könnte die Token nach der Vermischung behalten. On-Chain-Ermittler gehen davon aus, dass es sich bei der ETH-Transaktion um einen verfrühten Aprilscherz handelt, da der Hacker die genaue Phishing-Seite nicht genannt hat und die Transaktion einen anderen Weg zu Tornado Cashnutzte. 

Nach Angaben der On-Chain-Ermittler wurden die gestohlenen Gelder über eine Ethereum Vanity-Adresse abgewickelt und nicht direkt an eine der Tornado Cash Spoof-Websites gesendet. 

TornadoCashDAO:
zklend再次被盗极有可能是黑客自导自演,被盗资金因手填safe-relayer.et h中继器取款，并不是因为钓鱼，黑客为同一人 https://t.co/FEd22QY9Ph

– 法希姆 (@Faith_Blo) 1. April 2025

Tornado Cash selbst hat vor potenziellen Spoofing-Websites gewarnt, die weithin bekannt sind und von einem Ethereum Hacker höchstwahrscheinlich nicht verwechselt werden können. On-Chain-Ermittler stellten fest, dass die fragliche Website höchstwahrscheinlichcashund nichtcashlautete. 

Bevor der Hacker den Großteil der gestohlenen ETH transferierte, verschob er auch kleinere Beträge und versuchte, die ETH ohne Zwischenhändler zu vermischen. Das ZKLend-Team bemerkte diese Aktivitäten und benachrichtigte fortan alle neu aufgetretenen, mit dem Hack in Verbindung stehenden Adressen an zentralisierte Börsen und Protokolle. 

Können die ZKLend-Gelder tracwerden?

Nach der Vermischung lassen sich die 2.930 ETH möglicherweise nicht mehr so ​​leicht trac. Die On-Chain-Ermittler stellen jedoch eine vorläufige Verbindung zwischen dem Hacker und der gefälschten Tornado-Cash Website her. 

Ein On-Chain-Ermittler stellte fest, dass die Hacker-Transaktion über eine Ethereum Vanity-Adresse, safe-relayer.eth,. Dieselbe Adresse war zuvor in eine der gefälschten Tornado-Cash Websites fest einprogrammiert. Die Codeversionen der Website wurden von Ermittlern überwacht, die dabei feststellten, dass safe-relayer.eth im Jahr 2024 für eine gewisse Zeit auftauchte.

Die Adresse safe-relayer.eth wurde am 31. März von der Website entfernt. Das bedeutet, dass alle weiteren Betrugstransaktionen über eine andere zwischengeschaltete Wallet abgewickelt werden. 

Der Hacker nutzte jedoch weiterhin safe-relayer.eth, selbst ohne Aufforderung durch die Website. Dies ließ die Ermittler vermuten, dass der Hacker seine tracverwischen wollte und wahrscheinlich die Kontrolle über safe-relayer.eth sowie den Betrieb der gefälschten Website innehatte. 

Letztendlich führte der ZKLend-Exploit, anstatt die Gelder zu verschleiern, zu verstärkter Kritik an der Websitecash und ihren potenziellen Betreibern. Der Versuch, die tracdes Hackers zu verwischen, hat möglicherweise ein größeres Netzwerk von Kriminellen aufgedeckt.