В ответ на очередное предложение команды zkLend вернуть украденные средства, взломавший протокол хакер сообщил, что отправил 2930 ETH (~$5,4 млн) на фейковый сайт Tornado Cash.
Данные: Etherscan.
В результате инцидента 12 февраля L2-проект на базе Starknet потерял ~3666 ETH ($9,6 млн на тот момент). Злоумышленнику сразу же предложили вернуть активы за вознаграждение в 10% от суммы и отказ от преследования.
Злоумышленник посоветовал «перенаправить усилия» по возврату активов с него на операторов фишингового сайта.
Транзакции, в которых хакер якобы потерял монеты, подтвердил исследователь в области кибербезопасности под ником Vladimir S и ряд других специалистов, включая администратора X-аккаунта TornadoCashBot.
Однако последний предположил, что взломщик zkLend и владелец фейкового Tornado Cash могут быть одним человеком. По меньшей мере оба использовали один ENS-адрес safe-relayer.eth.
I found something interesting. The person who stole zklend and the phishing website imitating TornadoCash may be the same person.@zkLend @officer_cia @im23pds
1. The ENS safe-relayer.eth has been marked on etherscan. We can track it through the transfer records of this ENS pic.twitter.com/0M33MNGBl9
— TornadoCashBot (@TornadoCashBot) April 1, 2025
По словам эксперта, площадка с доменом tornadorth[.]cash фигурировала в Telegram-чате платформы микширования с 2024 года и обратил на себя внимание. Адрес safe-relayer.eth был прописан в коде фишинговой платформы в качестве ретранслятора, хотя оригинальный сервис микширования в этом случае использует динамический реестр.
Разработчики L2-протокола подтвердили активное перемещение в последние сутки украденных злоумышленником активов.
По их данным, фишинговый сайт работает не менее пяти лет, но у них сейчас нет убедительных доказательств связи площадки с хакером. Команда zkLend включила связанные с ней адреса в меры по отслеживанию средств.
Напомним, в марте трейдер потерял $1,82 млн в USDC на Compound, подписав фишинговую транзакцию.