Зловмисник, який в лютому 2025 року викрав $9,6 млн із децентралізованого кредитного протоколу zkLend, став жертвою фішингової атаки. Як стало відомо, він відправив 2930 ETH, що на момент операції еквівалентно $5,4 млн, на підроблену версію міксера Tornado Cash, втративши більшу частину вкрадених коштів.
Про це розповідає Бізнес • Медіа
Згідно з даними платформи Etherscan, 31 березня хакер переказував по 100 ETH за раз на адресу, яку помилково прийняв за ту, що належить міксеру. Після цього зловмисник залишив повідомлення для команди zkLend, в якому зізнався у своїй помилці та зазначив, що йому «дуже шкода за весь заподіяний хаос».
«дуже шкода за весь заподіяний хаос».
У додатку до цього, хакер порадив розробникам звертатися до власників фейкового Tornado Cash з їхніми претензіями щодо повернення активів. Раніше ончейн-аналітики попереджали про фішинговий сайт, проте зловмисник не виявив підозр.
Команда zkLend відреагувала на ситуацію, зажадавши повернення решти коштів. Проте у відповідь злочинець відправив ще 25 ETH на гаманець, пов’язаний із платформою Chainflip. Деякі користувачі вважають, що хакер насправді має зв’язок з підробленим міксером, а його каяття – це просто жарт напередодні першого квітня. Інші члени спільноти висловлюють думку, що немає достатньо доказів, щоб підтвердити цю версію.
Атака на zkLend сталася 12 лютого 2025 року. Хакер застосував миттєві позики та маніпуляції з округленням, щоб завищити кредитний пул і вивести кошти. Після цього він конвертував активи в Ethereum і спробував відмити їх через Railgun, однак політика протоколу заблокувала цю транзакцію, і зловмисник змушений був шукати інші шляхи для відмивання коштів.
Після злому zkLend запропонував хакеру залишити 10% від викраденого в обмін на відмову від переслідування, але зловмисник не відповів. Пізніше платформа оголосила винагороду в $500 000 за інформацію, що веде до затримання злочинця та повернення коштів.
Згідно з даними компанії CertiK, у березні цього року криптовалютні зломи завдали шкоди індустрії на суму $33 млн, але завдяки успішному поверненню активів від 1inch, втрати знизилися до $28 млн. У лютому 2025 року загальні збитки сягнули $1,53 млрд, зокрема найбільший злом на $1,4 млрд був здійснений Lazarus Group проти біржі Bybit.
Нагадаємо, раніше повідомлялося, що криптонеобанк Infini звинуватив свого співробітника у крадіжці понад 49,5 млн USDC.