ZK Lend 프로토콜에서 2,930 ETH를 탈취한 해커가 해당 자금을 다른 악의적인 사용자에게 잃었다고 주장했습니다. 해커는 ETH를 Tornado Cash로 보내는 대신 모든 자금이 피싱 웹사이트로 전송되었다고 밝혔습니다.
ZKLend에서 2,930 ETH를 훔쳐간 해커의 주소가 역으로 해킹당한 것으로 알려졌습니다. 지갑 소유자는 이더스캔(Etherscan)을 통해 해당 자금이 토네이도 캐시(Tornado Cash아닌 피싱 사이트로 유출되었다고 주장했습니다. 4월 1일 기준, 도난당한 ETH의 가치는 약 550만 달러에 달합니다.
협상을 진행하여 10%의 보상금을 지급하는 조건으로 대부분의 자금을 되찾으려 했습니다. 해킹된 자금의 주소를 알고 있었고, 프로젝트 측은 마지막 순간까지 해커와 적극적으로 소통했습니다. 결국 해커는 자금이 원래 주소에는 더 이상 없으며 다른 악의적인 공격자에게 넘어갔다고 주장했습니다.
해커는 ZKLend 팀과 동일한 방식으로 소통했습니다. 즉, 0 ETH가 포함된 온체인 거래 와 메시지를 첨부했습니다.
ZKLend 팀은 해커가 모든 자금에 대한 통제권을 잃었다는 결정적인 증거는 없다고 밝혔 프로토콜 악용자와 스푸핑 사이트 지갑 소유자를 연결하는 결정적인 증거는 없지만, 온체인 조사관들은 동일한 주체가 두 해킹 사건 모두에 책임이 있을 가능성을 시사하는 단서를 발견했습니다.
대출 프로토콜은 사라진 이더리움을 trac하는 것을 포기하지 않았으며, 새로운 공격 주소를 목표물로 추가했습니다. ZKLend 프로토콜은 중앙 집중식 거래소와 협력하지만, 자금을 은폐하는 분산형 방식도 존재합니다.
수사관들은 해커가 이더리움 손실을 조작했을 가능성이 있다고 보고 있다
갑작스러운 또 다른 공격 주장과 그에 따른 즉각적인 믹싱은 해커가 피싱 사이트와 연관되어 있을 가능성을 시사합니다. 어쨌든 이제 이더리움(ETH) 코인의 trac은 거의 불가능해졌으며, 해커는 믹싱 후에도 토큰을 계속 보유할 수 있을 것으로 보입니다. 온체인 조사관들은 해커가 정확한 피싱 사이트를 언급하지 않았고, 거래가 토네이도 캐시(Tornado Cash)에 도달하는 경로가 달랐다는 점을 고려할 때, 이번 이더리움 거래는 만우절 장난일 가능성이 높다고 보고 있습니다.
온체인 조사관들에 따르면, 도난당한 자금은 Ethereum 가상 주소를 사용했으며, 토네이도 Cash 위장 사이트 중 하나로 직접 전송되지 않았습니다.
토네이도 Cash DAO:
zklend再次被盗极有可能是黑客自导自演,被盗资金因手填safe-relayer.et h中继器取款,并不是因为钓鱼,黑客为同一人https://t.co/FEd22QY9Ph— 법希姆 (@Faith_Blo) 2025년 4월 1일
Tornado Cash 자체에서도 스푸핑 사이트 가능성에 대해 경고했는데, 이는 널리 알려져 있고 Ethereum 해커가 오인할 가능성이 매우 낮습니다. 온체인 조사관들은 문제의 사이트가 tornado.cashcash아니라cash였을 가능성이 가장 높다는 것을 발견했습니다.
해커는 훔친 이더리움(ETH)의 대부분을 이체하기 전에 소액도 이체하고 중개자 없이 믹싱을 시도했습니다. ZKLend 팀은 이러한 활동을 감지하고 해킹 관련 주소가 새로 발견될 때마다 중앙 집중식 거래소와 프로토콜에 지속적으로 알렸습니다.
ZKLend 자금의 trac가능한가요?
믹싱 후에는 2,930 ETH의 trac이 더 어려워질 수 있습니다. 하지만 온체인 조사관들은 해커와 사칭된 토네이도Cash 사이트 사이에 잠정적인 연관성이 있다고 보고 있습니다.
온체인 조사관은 해킹 거래가 safe-relayer.eth Ethereum 가상 주소를 . 이 주소는 과거 토네이도 캐시(Tornado Cash 사이트 중 하나에 하드코딩되어 있던 주소입니다. 조사관들은 해당 사이트의 코드 버전을 모니터링한 결과, safe-relayer.eth가 2024년 특정 기간 동안 등장했던 것을 발견했습니다.
3월 31일부로 safe-relayer.eth 주소가 사이트에서 삭제되었습니다. 따라서 모든 사기 거래는 다른 중개 지갑을 통해 이루어집니다.
그러나 해커는 해당 사이트의 안내 메시지가 나타나지 않았음에도 불구하고 safe-relayer.eth를 계속 사용했습니다. 이는 수사관들에게 해커가 자신의 trac을 지우려 했으며, safe-relayer.eth와 스푸핑 사이트 제작자를 통제하고 있었을 가능성이 높다는 것을 시사했습니다.
결론적으로, ZKLend 공격은 자금의 흐름을 숨기기는커녕 tornadoeth.cash 사이트와 그cash 소유자에 대한 추가적인 조사를 촉발시켰습니다. 해커의 trac을 감추려는 시도는 오히려 더 광범위한 악의적인 행위자 네트워크를 드러냈을지도 모릅니다.
