Хакер, похитивший $9,6 млн из протокола zkLend, заявил, что потерял украденные средства из-за фишинг-сайта, который выдавал себя за Tornado Cash.
Как был эксплуатирован zkLend
11 февраля zkLend подвергся атаке с использованием взятия в долг малой суммы и фактического увеличения долга через взлом кода и ошибки округления. Хакеру удалось вывести средства с помощью моста на Ethereum, но попытка их отмывания через Railgun не удалась, и средства вернулись на начальный адрес.
Потеря средств на фишинг-сайте
31 марта хакер сообщил zkLend, что потерял 2930 ETH на фишинг-сайте под видом Tornado Cash. Хакер утверждает, что был обманут сайтом во время перевода средств и осознал утрату только после завершения транзакции.
Реакция и последствия
zkLend ответили на сообщение, попросив хакера вернуть оставшиеся средства. Тем временем другой пользователь предупредил хакера об ошибке. Потери от подобных атак и мошенничества в феврале составили почти $1,53 млрд, где взлом Bybit оказался крупнейшей кражей — $1,4 млрд — совершённой Lazarus Group из Северной Кореи.
Случай с zkLend подчеркивает уязвимость в безопасности криптопротоколов и необходимость быть бдительным при взаимодействии с онлайн-сервисами.
