Лучшие аналитические материалы о криптовалютах прямо в вашу электронную почту.
Хакер, взломавший ZKLend, потерял все средства из-за фишингового сайта, подделавшего данные Tornado Cash
- Хакер ZKLend ответил на сообщение о вознаграждении, заявив, что потерял 2930 ETH в результате фишинговой атаки.
- ZKLend продолжает tracсредства, уведомляя биржи и протоколы о новых адресах.
- Хакер использовал safe-relayer.eth, персональный адрес Ethereum , что вызвало подозрения в том, что поддельный сайт и взломанный ZKLend принадлежат одной и той же организации.
Хакер, укравший 2930 ETH из протокола ZK Lend, утверждает, что потерял все средства из-за другого злоумышленника. Вместо того чтобы отправить ETH в Tornado Cash, хакер утверждает, что все средства были отправлены на фишинговый сайт.
Предполагается, что хакерский адрес, укравший 2930 ETH у ZKLend, был взломан в ответ. Владелец кошелька прокомментировал ситуацию через Etherscan, заявив, что средства были потеряны из-за фишингового сайта, а не из-за Tornado Cash. По состоянию на 1 апреля украденные ETH оцениваются примерно в 5,5 млн долларов.
ZKLend вела переговоры с хакером о возврате большей части средств в обмен на вознаграждение в размере 10%. Адреса были известны, и проект активно общался с эксплойтером до последнего момента. В итоге хакер заявил, что средства больше не находятся на исходном адресе и были похищены другим злоумышленником.
Хакер общался так же, как и команда ZKLend — совершая транзакцию в блокчейне с нулевым количеством ETH и прикрепленным к ней сообщением.
Команда ZKLend заявила, что нет убедительных доказательств того, что хакер потерял контроль над всеми средствами. Команда отметила, что средства были отправлены на адрес, связанный с поддельным сайтом, который работает уже пять лет. Нет убедительных доказательств, связывающих злоумышленника с владельцами кошельков поддельного сайта, но исследователи блокчейна обнаружили признаки того, что за оба взлома может нести ответственность одна и та же организация.
Протокол кредитования не отказался от tracотследить потерянные ETH и включил новый адрес для эксплойта в число целей. Протокол ZKLend сотрудничает с централизованными биржами, хотя существуют и децентрализованные способы сокрытия средств.
Следователи подозревают, что хакер сфальсифицировал потерю ETH
Внезапные заявления о новом уязвимости, за которыми последовало немедленное смешивание, также указывают на возможную связь хакера с фишинговым сайтом. В любом случае, tracETH теперь практически невозможно, и хакер может в итоге сохранить токены после смешивания. Специалисты по блокчейну считают, что транзакция с ETH — это первоапрельская шутка, поскольку хакер не указал точный адрес фишингового сайта, и транзакция использовала другой путь для доступа к Tornado Cash.
По данным следователей, занимающихся анализом блокчейна, украденные средства использовали персональный адрес Ethereum и не были отправлены напрямую на один из сайтов-подставных отправителей Tornado Cash .
ТорнадоCashДАО:
zklend 再次被盗极有可能是黑客自导自演, 被盗资金因手填safe-relayer.et h中继器取款,并不是因为钓鱼,黑客为同一人 https://t.co/FEd22QY9Ph– 法希姆 (@Faith_Blo) 1 апреля 2025 г.
Сам Tornado Cash предупреждал о потенциальных поддельных сайтах, которые широко известны и крайне маловероятно, что их перепутают с сайтами хакеров Ethereum . Специалисты по анализу блокчейна заметили, что рассматриваемый сайт, скорее всего, былcash, а неcash.
Перед переводом основной суммы украденных ETH хакер также перемещал меньшие суммы и пытался смешивать их без посредника. Команда ZKLend заметила эту активность и продолжила уведомлять централизованные биржи и протоколы обо всех новых адресах, связанных со взломом.
Можно ли tracсредства, находящиеся в распоряжении ZKLend?
После смешивания 2930 ETH может быть сложнее trac. Однако специалисты по анализу блокчейна предварительно связывают хакера с поддельным сайтом TornadoCash .
Специалист по анализу блокчейна отметил, что транзакция хакера прошла через Ethereum адрес safe-relayer.eth. Этот же адрес ранее был жестко закодирован на одном из поддельных сайтов TornadoCash . Следователи отслеживали версии кода этого сайта и заметили, что safe-relayer.eth появлялся в течение некоторого времени в 2024 году.
По состоянию на 31 марта адрес safe-relayer.eth был удален с сайта. Это означает, что все остальные мошеннические транзакции проходят через другой посреднический кошелек.
Однако хакер всё равно использовал safe-relayer.eth, даже не получив запроса от сайта. Это заставило следователей предположить, что хакер хотел замести tracи, вероятно, контролировал safe-relayer.eth и автора поддельного сайта.
В итоге, вместо того чтобы скрыть средства, уязвимость ZKLend привлекла дополнительное внимание к сайтуcash и его потенциальным владельцам. Попытка замести tracхакера, возможно, выявила более широкую сеть злоумышленников.
Если вы это читаете, значит, вы уже впереди. Оставайтесь на шаг впереди, подписавшись на нашу рассылку.
Предупреждение. Предоставленная информация не является торговой рекомендацией. Cryptopolitanнастоятельно не несет ответственности за любые инвестиции, сделанные на основе информации, представленной на этой странице. Мыtronпровести независимоеdent и/или проконсультироваться с квалифицированным специалистом, прежде чем принимать какие-либо инвестиционные решения.
Кристина Васильева
Христина Василева специализируется на DeFi, бизнесе и экономических новостях. Она окончила Софийский университет со степенью магистра философии, после четырехлетнего обучения по программам бакалавриата в области делового администрирования, журналистики и массовых коммуникаций. Она работала в одной из ведущих газет страны, освещая сырьевые товары и корпоративные результаты. В настоящее время Христина является автором новостей в Cryptopolitan.
- Какие криптовалюты могут принести вам деньги?
- Как повысить безопасность своего кошелька (и какие из них действительно стоит использовать)
- Малоизвестные инвестиционные стратегии, используемые профессионалами
- Как начать инвестировать в криптовалюту (какие биржи использовать, какую криптовалюту лучше купить и т.д.)