" Хакер, стоящий за эксплойтом на $9,6 млн децентрализованного кредитного протокола zkLend в феврале, утверждает, что сам стал жертвой фишингового сайта, выдававшего себя за Tornado Cash, что привело к потере значительной части украденных средств.
В сообщении, отправленном zkLend через Etherscan 31 марта, хакер заявил, что потерял 2930 ETH из украденных средств на фишинговом сайте, выдающем себя за интерфейс Tornado Cash.
В серии переводов 31 марта вор zkLend отправлял по 100 ETH за раз на адрес Tornado.Cash: Router, завершив тремя депозитами по 10 ETH.
«Здравствуйте, я пытался перевести средства на Tornado, но использовал фишинговый сайт, и все средства были потеряны. Я опустошен. Мне ужасно жаль за весь хаос и вызванные потери», — сказал хакер.
Хакер, стоящий за эксплойтом zkLend, утверждает, что потерял большую часть средств на фишинговом сайте, выдающем себя за интерфейс Tornado Cash. Источник: Etherscan
«Все 2930 ETH были украдены владельцами этого сайта. У меня нет монет. Пожалуйста, перенаправьте свои усилия на владельцев этих сайтов, чтобы посмотреть, сможете ли вы вернуть часть денег», — добавил он.
zkLend ответил на сообщение, попросив хакера «Вернуть все средства, оставшиеся в ваших кошельках» на адрес кошелька zkLend. Однако, по данным Etherscan, еще 25 ETH были отправлены на кошелек, указанный как Chainflip1.
Ранее другой пользователь предупредил эксплуататора об ошибке, сказав ему: «Не празднуй», потому что все средства были отправлены на мошеннический URL Tornado Cash.
«Это так ужасно. Все пропало из-за одного неправильного веб-сайта», — ответил хакер.
Другой пользователь предупредил эксплуататора zkLend об ошибке, но было уже поздно. Источник: Etherscan
Как zkLend взломали на $9,6 млн
zkLend пострадал от эксплоита пустого рынка 11 февраля, когда злоумышленник использовал небольшой депозит и мгновенные кредиты, чтобы раздуть накопитель кредитования, согласно протоколу вскрытия от 14 февраля.
Затем хакер неоднократно вносил и снимал средства, эксплуатируя ошибки округления, которые стали значительными из-за многократных повторений.
Злоумышленник перевел украденные средства в Ethereum и позже не смог отмыть их через Railgun после того, как политики протокола вернули их на исходный адрес.
После эксплойта zkLend предложил хакеру оставить себе 10% средств в качестве вознаграждения и предложил освободить виновника от юридической ответственности и контроля со стороны правоохранительных органов, если оставшийся ETH будет возвращен.
Крайний срок подачи предложений 14 февраля прошел без публичного ответа от обеих сторон. В обновлении X от 19 февраля zkLend сообщил, что теперь предлагает вознаграждение в размере 500 000 долларов за любую проверяемую информацию, которая может привести к аресту хакера и возврату средств.
По данным компании по безопасности блокчейна CertiK, убытки от мошенничества, эксплоитов и взломов криптовалют в марте составили более 33 миллионов долларов, но снизились до 28 миллионов долларов после того, как агрегатор децентрализованных бирж 1inch успешно вернул украденные средства.
Убытки от мошенничества, эксплоитов и взломов криптовалют в феврале составили почти 1,53 миллиарда долларов. Атака на Bybit северокорейской Lazarus Group 21 февраля на сумму 1,4 миллиарда долларов составила львиную долю и получила титул крупнейшего взлома криптовалюты за всю историю. Он оказался в два раза крупнее взлома Ronin Bridge на сумму 650 миллионов долларов в марте 2022 года.
