zkLend Hırsızı, Tornado Cash Sahtekarlığına Yakalanarak Çalınan Fonların Bir Kısmını Kaybetti

Şubat ayında zkLend adlı merkeziyetsiz para-kredilendirme protokolünden 9.6 milyon dolarlık bir açık sömüren hacker, şimdi de Tornado Cash taklidi bir kimlik avı web sitesi tarafından kandırıldığını ve çaldığı fonların büyük bir bölümünü kaybettiğini iddia ediyor. Etherscan üzerinden zkLend'e gönderilen bir mesajda, hacker, çalınan fonlardan 2.930 Ether'i (ETH) Tornado Cash'in ön yüzü gibi görünen bir kimlik avı web sitesine kaptırdığını belirtti.

31 Mart'ta yapılan bir dizi transferde, zkLend hırsızı her seferinde 100 Ether'i Tornado.Cash: Router adlı bir adrese gönderdi ve ardından 10 Ether'lik üç mevduatla tamamladı. Hacker, "Merhaba, fonları Tornado'ya taşımaya çalıştım, ancak bir kimlik avı web sitesi kullandım ve tüm fonlar kayboldu. Yıkıldım. Yol açtığım tüm kargaşa ve kayıplar için çok üzgünüm" dedi.

Hacker ayrıca, "Tüm 2.930 Eth, o sitenin sahipleri tarafından alındı. Param yok. Lütfen çabalarınızı o site sahiplerine yönlendirerek paranın bir kısmını geri kazanıp kazanamayacağınıza bakın" diye ekledi. zkLend, hackera, "Cüzdanlarınızda kalan tüm fonları" zkLend cüzdan adresine iade etmesini istedi. Ancak Etherscan'e göre, daha sonra Chainflip1 olarak listelenen bir cüzdana 25 Ether daha gönderildi.

Daha önce, başka bir kullanıcı, sömürücüyü hata konusunda uyardı ve "sevinmeyin" dedi, çünkü tüm fonlar sahte Tornado Cash URL'sine gönderildi. Hacker, "Bu çok yıkıcı. Her şey yanlış bir web sitesiyle gitti" diye yanıtladı.

zkLend, 11 Şubat'ta bir saldırganın, protokolün 14 Şubat tarihli ölüm sonrası yazısına göre, ödünç verme toplayıcısını şişirmek için küçük bir mevduat ve flaş krediler kullanarak boş bir piyasa açığı yaşadı. Saldırgan daha sonra fonları defalarca yatırdı ve çekti, şişirilmiş toplayıcı nedeniyle önemli hale gelen yuvarlama hatalarından yararlandı. Saldırgan, çalınan fonları Ethereum'a köprüledi ve daha sonra protokol politikaları onları orijinal adrese iade ettikten sonra Railgun üzerinden aklamayı başaramadı.

Açık sonrası zkLend, hacker'ın fonların %10'unu ödül olarak tutabileceğini ve kalan Ether iade edilirse suçluyu yasal sorumluluktan ve kolluk kuvvetlerinin incelemesinden serbest bırakmayı teklif etti. 14 Şubat'taki teklif son tarihi, her iki taraftan da kamuya açık bir yanıt gelmeden geçti. 19 Şubat'ta X'e yapılan bir güncellemede zkLend, hacker'ın tutuklanmasına ve fonların kurtarılmasına yol açabilecek doğrulanabilir herhangi bir bilgi için 500.000 dolarlık bir ödül teklif ettiğini söyledi.

Blockchain güvenlik firması CertiK'e göre, kripto dolandırıcılıkları, açıkları ve hack'lerden kaynaklanan kayıplar 33 milyon doların üzerine çıktı, ancak merkeziyetsiz borsa toplayıcısı 1inch çalınan fonlarını başarıyla kurtardıktan sonra 28 milyon dolara düştü. Kripto dolandırıcılıkları, açıkları ve hack'lerden kaynaklanan kayıplar, Şubat ayında neredeyse 1,53 milyar dolara ulaştı. Kuzey Kore'nin Lazarus Grubu tarafından 21 Şubat'ta yapılan 1,4 milyar dolarlık Bybit saldırısı, en büyük payı oluşturdu ve Mart 2022'deki 650 milyon dolarlık Ronin köprü hack'ini ikiye katlayarak şimdiye kadarki en büyük kripto hack'i unvanını aldı.

Sonuç olarak, zkLend hacker'ı, daha önce çaldığı fonları aklamak için kullandığı bir kimlik avı saldırısına yakalandı. Bu durum, kripto para dünyasındaki güvenlik risklerini ve dikkatli olunması gerektiğini bir kez daha gözler önüne seriyor.