L'hacker di ZKLend perde tutti i fondi a causa dello spoofing del sito di phishing Tornado Cash

L'hacker che ha rubato 2.930 ETH dal protocollo ZK Lend afferma di aver perso tutti i fondi a causa di un altro giocatore malintenzionato. Invece di inviare gli ETH a Tornado Cash, l'hacker sostiene che tutti i fondi siano stati inviati a un sito web di phishing.

L'indirizzo hacker che ha rubato 2.930 ETH da ZKLend sarebbe stato hackerato a sua volta. Il proprietario del wallet ha commentato tramite Etherscan, sostenendo che i fondi sono stati persi a causa di un sito di phishing anziché di Tornado Cash. Gli ETH rubati hanno un valore di circa 5,5 milioni di dollari al 1° aprile.

ZKLend ha negoziato con l'hacker per recuperare la maggior parte dei fondi in cambio di una ricompensa del 10%. Gli indirizzi erano noti e il progetto ha comunicato attivamente con l'aggressore fino all'ultimo momento. Alla fine, l'hacker ha affermato che i fondi non si trovano più all'indirizzo originale e che sono stati sottratti da un altro malintenzionato. 

L'hacker ha comunicato nello stesso modo del team di ZKLend: effettuando una transazione con zero ETH e un messaggio allegato. 

Il team di ZKLend ha dichiarato che non vi sono prove conclusive che l'hacker abbia perso il controllo di tutti i fondi. Il team ha osservato che i fondi sono stati inviati a un indirizzo collegato a un sito di spoofing attivo da cinque anni. Non ci sono prove conclusive che colleghino chi ha sfruttato la vulnerabilità del protocollo ai proprietari dei wallet del sito di spoofing, ma gli investigatori on-chain hanno trovato indicazioni che la stessa entità potrebbe essere responsabile di entrambi gli attacchi.

Il protocollo di prestito non ha rinunciato a tracgli ETH persi e ha incluso il nuovo indirizzo exploit come obiettivo. Il protocollo ZKLend collabora con exchange centralizzati, sebbene esistano anche metodi decentralizzati per oscurare i fondi. 

Gli investigatori sospettano che l'hacker abbia simulato la perdita di ETH

Le improvvise affermazioni di un altro exploit, seguite dall'immediato mixing, suggeriscono inoltre che l'hacker potrebbe essere collegato al sito di phishing. In ogni caso, le monete ETH sono ora quasi impossibili da trace l'hacker potrebbe finire per trattenere i token dopo il mixing. Gli investigatori on-chain ritengono che la transazione ETH sia uno scherzo di inizio aprile, poiché l'hacker non ha menzionato il sito di phishing esatto e la transazione ha utilizzato un altro percorso per raggiungere Tornado Cash. 

Secondo gli investigatori on-chain, i fondi rubati hanno utilizzato un indirizzo vanity Ethereum e non sono stati inviati direttamente a uno dei siti falsi di Tornado Cash . 

TornadoCashDAO:
zklend再次被盗极有可能是黑客自导自演,被盗资金因手填safe-relayer.et h中继器取款, 并不是因为钓鱼, 黑客为同一人 https://t.co/FEd22QY9Ph

— 法希姆 (@Faith_Blo) 1 aprile 2025

Tornado Cash stessa ha messo in guardia contro potenziali siti falsi, ampiamente noti e altamente improbabili da essere scambiati per un hacker Ethereum . Gli investigatori on-chain hanno notato che il sito in questione era molto probabilmentecash, anzichécash. 

Prima di trasferire la maggior parte degli ETH rubati, l'hacker ha spostato anche somme più piccole e ha provato a combinare i dati senza intermediari. Il team di ZKLend ha notato l'attività e ha continuato a notificare agli exchange e ai protocolli centralizzati tutti i nuovi indirizzi correlati all'hacking. 

È possibile traci fondi ZKLend?

Dopo il mixaggio, i 2.930 ETH potrebbero non essere traccon la stessa facilità. Tuttavia, gli investigatori on-chain stanno ipotizzando un collegamento tra l'hacker e il sito fasullo TornadoCash . 

Un investigatore on-chain ha notato che la transazione dell'hacker è avvenuta tramite un Ethereum indirizzo safe-relayer.eth. Lo stesso indirizzo era stato precedentemente inserito manualmente in uno dei siti spoof di TornadoCash . Gli investigatori hanno monitorato le versioni del codice del sito, notando che safe-relayer.eth era presente per un certo periodo nel 2024.

A partire dal 31 marzo, l'indirizzo safe-relay.eth è stato rimosso dal sito. Ciò significa che tutte le altre transazioni fraudolente passano attraverso un altro portafoglio intermediario. 

Tuttavia, l'hacker ha comunque utilizzato safe-relay.eth, anche senza essere stato sollecitato dal sito. Questo ha portato gli investigatori a credere che l'hacker volesse coprire le sue trace che probabilmente avesse il controllo di safe-relay.eth e dell'autore del sito fittizio. 

Alla fine, invece di oscurare i fondi, l'exploit ZKLend ha posto un ulteriore controllo sul sitocash e sui suoi potenziali proprietari. Il tentativo di coprire le tracdell'hacker potrebbe aver smascherato una rete più ampia di malintenzionati.