В ответ на повторное предложение команды zkLend вернуть похищенные средства, хакер, атаковавший протокол, заявил, что отправил 2930 ETH (примерно $5,4 млн) на поддельный сайт Tornado Cash.
Инцидент произошел 12 февраля, когда L2-проект на базе Starknet лишился около 3666 ETH ($9,6 млн по курсу того времени). Вскоре после атаки команда zkLend предложила злоумышленнику вернуть украденные активы, пообещав в качестве награды 10% от суммы и отказ от правовых преследований.
31 марта хакер ответил: «Привет, я попытался перевести монеты в Tornado, но случайно использовал фишинговый сайт, и все потерял. Я раздавлен. Глубоко сожалею о нанесенном ущербе. Все 2930 ETH были захвачены владельцами этой площадки. У меня больше нет средств». Он также порекомендовал перенаправить усилия по возврату активов на операторов мошеннического сайта.
Транзакции, в которых злоумышленник якобы лишился монет, подтвердили несколько экспертов, включая исследователя кибербезопасности под ником Vladimir S и администратора X-аккаунта TornadoCashBot. Однако последний выдвинул гипотезу, что взломщик zkLend и владелец фейковой платформы могут быть одним человеком. Оба использовали один ENS-адрес — safe-relayer.eth. По данным аналитиков, площадка с доменом tornadorth[.]cash была замечена в Telegram-чатах, связанных с микшированием, еще с 2024 года. Этот адрес был указан в коде фишингового ресурса как статический ретранслятор, тогда как оригинальный Tornado Cash использует динамические реестры.
«Учитывая, что исходный код фишингового сайта удалил safe-relayer.eth, но он продолжает переводить средства через него из Tornado Cash, существует вероятность, что этот адрес принадлежит хакеру», — отметил эксперт.
Команда zkLend сообщила о значительной активности в перемещении украденных средств за последние сутки. По их данным, фишинговая платформа действует уже не менее пяти лет, однако у них пока нет убедительных доказательств связи между ней и злоумышленником. Связанные с мошенническим сайтом адреса были добавлены в список для отслеживания активов.