Хакер, укравший 2930 ETH из протокола ZK Lend, утверждает, что потерял все средства из-за другого злоумышленника. Вместо того чтобы отправить ETH в Tornado Cash, хакер утверждает, что все средства были отправлены на фишинговый сайт.
Предполагается, что хакерский адрес, укравший 2930 ETH у ZKLend, был взломан в ответ. Владелец кошелька прокомментировал ситуацию через Etherscan, заявив, что средства были потеряны из-за фишингового сайта, а не из-за Tornado Cash. По состоянию на 1 апреля украденные ETH оцениваются примерно в 5,5 млн долларов.
ZKLend вела переговоры с хакером о возврате большей части средств в обмен на вознаграждение в размере 10%. Адреса были известны, и проект активно общался с эксплойтером до последнего момента. В итоге хакер заявил, что средства больше не находятся на исходном адресе и были похищены другим злоумышленником.
транзакцию в блокчейне с нулевым количеством ETH и прикрепленным к ней сообщением.
Команда ZKLend заявила, что нет убедительных доказательств того, что хакер потерял контроль над всеми средствами. Команда отметила, что средства были отправлены на адрес, связанный с поддельным сайтом, который работает уже пять лет. Нет убедительных доказательств, связывающих злоумышленника с владельцами кошельков поддельного сайта, но исследователи блокчейна обнаружили признаки того, что за оба взлома может нести ответственность одна и та же организация.
Протокол кредитования не отказался от tracотследить потерянные ETH и включил новый адрес для эксплойта в число целей. Протокол ZKLend сотрудничает с централизованными биржами, хотя существуют и децентрализованные способы сокрытия средств.
Следователи подозревают, что хакер сфальсифицировал потерю ETH
Внезапные заявления о новом уязвимости, за которыми последовало немедленное смешивание, также указывают на возможную связь хакера с фишинговым сайтом. В любом случае, tracETH теперь практически невозможно, и хакер может в итоге сохранить токены после смешивания. Специалисты по блокчейну считают, что транзакция с ETH — это первоапрельская шутка, поскольку хакер не указал точный адрес фишингового сайта, и транзакция использовала другой путь для доступа к Tornado Cash.
По данным следователей, занимающихся анализом блокчейна, украденные средства использовали персональный адрес Ethereum и не были отправлены напрямую на один из сайтов-подставных отправителей Tornado Cash .
Торнадо Cash ДАО:
zklend 再次被盗极有可能是黑客自导自演, 被盗资金因手填safe-relayer.et h中继器取款,并不是因为钓鱼,黑客为同一人https://t.co/FEd22QY9Ph– 法希姆 (@Faith_Blo) 1 апреля 2025 г.
Сам Tornado Cash предупреждал о потенциальных поддельных сайтах, которые широко известны и крайне маловероятно, что их перепутают с сайтами хакеров Ethereum . Специалисты по анализу блокчейна заметили, что рассматриваемый сайт, скорее всего, былcash, а неcash.
Перед переводом основной суммы украденных ETH хакер также перемещал меньшие суммы и пытался смешивать их без посредника. Команда ZKLend заметила эту активность и продолжила уведомлять централизованные биржи и протоколы обо всех новых адресах, связанных со взломом.
Можно ли tracсредства, находящиеся в распоряжении ZKLend?
После смешивания 2930 ETH может быть сложнее trac. Однако специалисты по анализу блокчейна предварительно связывают хакера с поддельным сайтом TornadoCash .
Специалист по анализу блокчейна отметил, что транзакция хакера прошла через Ethereum , safe-relayer.eth . Этот же адрес ранее был жестко закодирован на одном из поддельных сайтов Tornado Cash . Следователи отслеживали версии кода этого сайта и заметили, что safe-relayer.eth появлялся в течение некоторого времени в 2024 году.
По состоянию на 31 марта адрес safe-relayer.eth был удален с сайта. Это означает, что все остальные мошеннические транзакции проходят через другой посреднический кошелек.
Однако хакер всё равно использовал safe-relayer.eth, даже не получив запроса от сайта. Это заставило следователей предположить, что хакер хотел замести tracи, вероятно, контролировал safe-relayer.eth и автора поддельного сайта.
В итоге, вместо того чтобы скрыть средства, уязвимость ZKLend привлекла дополнительное внимание к сайтуcash и его потенциальным владельцам. Попытка замести tracхакера, возможно, выявила более широкую сеть злоумышленников.
