Un pirate informatique de ZKLend perd tous ses fonds suite à une arnaque par hameçonnage utilisant Tornado Cash

Le pirate qui a dérobé 2 930 ETH au protocole ZK Lend affirme avoir perdu la totalité des fonds au profit d'un complice. Au lieu d'envoyer les ETH à Tornado Cash, il prétend les avoir transférés vers un site d'hameçonnage.

L'adresse du pirate ayant dérobé 2 930 ETH à ZKLend aurait été piratée en retour. Le propriétaire du portefeuille a commenté sur Etherscan, affirmant que les fonds avaient été perdus au profit d'un site d'hameçonnage et non de Tornado Cash. La valeur des ETH volés est estimée à environ 5,5 millions de dollars au 1er avril.

ZKLend négociait de 10 %. Les adresses étaient connues et le projet communiquait activement avec le pirate jusqu'au dernier moment. Finalement, ce dernier a affirmé que les fonds n'étaient plus à l'adresse d'origine et qu'ils avaient été dérobés par un tiers. 

Le pirate a communiqué de la même manière que l'équipe ZKLend : en émettant une transaction sur la blockchain avec zéro ETH et un message en pièce jointe. 

L'équipe ZKLend a déclaré qu'il n'existe aucune preuve concluante que le pirate ait perdu le contrôle de la totalité des fonds. Elle a toutefois précisé que ces fonds avaient été envoyés à une adresse liée à un site frauduleux actif depuis cinq ans. Bien qu'aucun élément de preuve concluant ne permette d'établir un lien entre l'auteur de l'exploitation de la faille et les propriétaires des portefeuilles de ce site, les enquêteurs de la blockchain ont trouvé des indices suggérant qu'une même entité pourrait être responsable des deux attaques.

Le protocole de prêt poursuit ses efforts pour tracles ETH perdus et a inclus la nouvelle adresse exploitée parmi ses cibles. Le protocole ZKLend collabore avec les plateformes d'échange centralisées, mais il existe également des méthodes décentralisées pour masquer les fonds. 

Les enquêteurs soupçonnent le pirate d'avoir simulé la perte d'ETH

Les allégations soudaines d'une nouvelle faille, suivies d'un mélange immédiat, laissent également penser que le pirate pourrait être lié au site d'hameçonnage. Quoi qu'il en soit, les ETH sont désormais quasiment impossibles à trac, et le pirate pourrait bien les conserver après le mélange. Les enquêteurs de la blockchain pensent que la transaction ETH est un poisson d'avril anticipé, car le pirate n'a pas mentionné le site d'hameçonnage exact et la transaction a emprunté un autre chemin pour atteindre Tornado Cash. 

Selon les enquêteurs de la blockchain, les fonds volés ont utilisé une adresse personnalisée Ethereum et n'ont pas été envoyés directement à l'un des sites frauduleux de Tornado Cash . 

TornadoCash：
zklend a publié un rapport sur le site Safe-Relayer.et. h中继器取款，并不是因为钓鱼，黑客为同一人 https://t.co/FEd22QY9Ph

– 法希姆 (@Faith_Blo) 1er avril 2025

Tornado Cash a ellecashmême mis en garde contre d'éventuels sites frauduleux, largement connus et qu'il est très improbable qu'un pirate informatique Ethereum confonde. Les enquêteurs de la blockchain ont remarqué que le site en question était très probablement tornadoeth.cash, au lieu decash. 

Avant de transférer la majeure partie des ETH volés, le pirate a également transféré de plus petites sommes et tenté de les mixer sans intermédiaire. L'équipe de ZKLend a détecté cette activité et a continué d'informer les plateformes d'échange centralisées et les protocoles de toutes les nouvelles adresses liées au piratage. 

Les fonds de ZKLend sont-ils trac?

Après le mixage, les 2 930 ETH pourraient être plus difficiles à trac. Cependant, les enquêteurs de la blockchain établissent un lien provisoire entre le pirate et le site frauduleux TornadoCash . 

Un enquêteur de la blockchain a constaté que la transaction du pirate informatique était passée par une Ethereum adresse safe-relayer.eth. Cette même adresse avait été intégrée au code source d'un site frauduleux se faisant passer pour TornadoCash . Les enquêteurs ont surveillé les versions du code de ce site et ont remarqué que safe-relayer.eth y était apparu pendant un certain temps en 2024.

Depuis le 31 mars, l'adresse safe-relayer.eth a été supprimée du site. Par conséquent, toutes les autres transactions frauduleuses transitent par un autre portefeuille intermédiaire. 

Cependant, le pirate a tout de même utilisé safe-relayer.eth, même sans y être invité par le site. Cela a conduit les enquêteurs à penser qu'il cherchait à effacer ses tracet qu'il contrôlait probablement safe-relayer.eth ainsi que l'auteur du site frauduleux. 

Au final, au lieu de dissimuler les fonds, l'exploitation de la faille ZKLend a accru la pression sur le sitecash et ses propriétaires potentiels. La tentative de dissimulation des tracdu pirate a peut-être révélé l'existence d'un réseau plus étendu de cybercriminels.