Хакер, атаковавший протокол zkLend 12 февраля и похитивший 3666 ETH (примерно $9,6 млн), оказался жертвой собственной неосторожности. На очередное предложение команды проекта вернуть активы за 10% от суммы с отказом от юридического преследования, злоумышленник заявил, что уже лишился большей части средств.

По его словам, 2930 ETH (~$5,4 млн) были отправлены на фишинговый сайт, замаскированный под Tornado Cash — известный Ethereum-микшер. В ответном сообщении от 31 марта он написал:

«Я ужасно сожалею о принесенных разрушениях и потерях. Все монеты были взяты владельцами сайта. У меня больше ничего нет».

Хакер порекомендовал команде zkLend сосредоточиться на разработчиках фишингового ресурса. Однако исследователи в области кибербезопасности, в том числе Vladimir S и TornadoCashBot, усомнились в искренности признания.

Они указали, что взломщик и владелец поддельного микшера могут быть одним и тем же лицом. Причина — использование общего ENS-адреса safe-relayer.eth, фигурирующего как в коде фейковой площадки, так и в транзакциях, связанных с атаками.

Эксперт TornadoCashBot отметил: домен tornadorth[.]cash упоминался ещё с 2024 года в Telegram-чате микшера. При этом оригинальный Tornado Cash использует динамический ретранслятор, а фишинговый — жёстко прописанный safe-relayer.eth.

Команда zkLend подтвердила, что в последние сутки зафиксировано активное движение оставшихся активов, и включила все подозрительные адреса в механизм отслеживания средств.

Пока достоверность версии хакера о потерянных монетах вызывает сомнения — но одно ясно точно: в криптомире даже преступники не застрахованы от схем, которые используют сами.

источник