Вор у вора дубинку украл: похититель средств zkLend потерял 2 930 ETH в фишинговой ловушке

Похититель средств zkLend потерял 2 930 ETH в результате фишинговой атаки при попытке отмыть украденные деньги. Злоумышленник стал жертвой мошенников, приняв фальшивый сайт за реальный сервис Tornado Cash. Этот неожиданный поворот событий подчеркивает риски онлайн-мошенничества даже среди киберпреступников.

Как произошла атака на zkLend

12 февраля децентрализованная финансовая платформа кредитования zkLend, построенная на Starknet, была взломана. Атакующий манипулировал уязвимостью смарт-контракта для кражи приблизительно $9,6 млн в ETH. Схема была довольно изящной: злоумышленник вносил небольшие суммы и использовал флеш-кредиты для искусственного увеличения кредитного аккумулятора, что позволяло многократно выводить крупные суммы.

Украденные средства позже были переведены в сеть Ethereum, но их отмывание оказалось непростой задачей. Изначально хакер попытался использовать Railgun — протокол, ориентированный на приватность, но из-за мер безопасности средства вернулись на исходный адрес.

Как хакер стал жертвой фейкового Tornado Cash

1 апреля поддерживаемый Consensys сервис De.Fi Antivirus Web3 сообщил в X, что похититель средств zkLend потерял украденные ETH при попытке перевести деньги через Tornado Cash. Однако он по ошибке воспользовался поддельным интерфейсом Tornado Cash, что привело к мгновенной и полной потере средств.

Данные блокчейна показывают, что атакующий отправлял по 100 ETH за раз в то, что он считал Tornado Cash, закончив тремя транзакциями по 10 ETH, прежде чем осознал обман.

Уроки zkLend

Случай с взломщиком zkLend подчеркивает ключевые уроки. Фишинговые мошенничества представляют значительную угрозу не только для обычных пользователей, но и для киберпреступников. Хакеры, пытающиеся отмыть средства, часто становятся мишенями более изощренных мошенников.

zkLend и другие децентрализованные финансовые протоколы теперь продвигают более строгие меры безопасности для предотвращения будущих атак. Платформа усилила анализ блокчейна и программы вознаграждений для отслеживания хакеров и восстановления украденных ETH.