Un hacker ayant volé 9,6 millions de dollars sur zkLend a perdu 2 930 Ether à cause d’un site de phishing se faisant passer pour Tornado Cash. Dans un message, il a exprimé ses regrets et a demandé de l’aide pour récupérer ses fonds. Malgré une offre de zkLend pour conserver 10 % des fonds en récompense, aucune réponse n’a été donnée avant la date limite. Les pertes dans le secteur crypto ont atteint 33 millions de dollars en mars.
Un hacker ayant orchestré l’exploitation de 9,6 millions de dollars du protocole de prêt décentralisé zkLend en février se retrouve maintenant dans une situation délicate après avoir été victime d’un site de phishing prétendant être Tornado Cash. Cette manœuvre a conduit à la perte d’une partie significative de ses fonds volés.
Dans un message adressé à zkLend via Etherscan le 31 mars, le hacker a révélé avoir perdu 2 930 Ether (ETH) en raison de cette escroquerie. Il a été trompé par un site se faisant passer pour une interface de Tornado Cash.
Lors d’une série de transactions effectuées le même jour, le voleur a transféré 100 Ether à une adresse intitulée Tornado.Cash : Router, suivie de trois dépôts de 10 Ether chacun.
« Bonjour, j’ai tenté de déplacer des fonds vers un Tornado, mais je suis tombé sur un site de phishing, et j’ai perdu tous mes fonds. Je suis vraiment désolé pour tout le désordre et les pertes occasionnées », a déclaré le hacker.
« Tous les 2 930 Eth ont été captés par les propriétaires de ce site. Je n’ai plus de pièces. Je vous prie de concentrer vos efforts sur ces propriétaires de site pour tenter de récupérer une partie de l’argent », a-t-il ajouté.
En réponse, zkLend a demandé au hacker de « restituer tous les fonds restants dans vos portefeuilles » à l’adresse du portefeuille de zkLend. Cependant, selon les données d’Etherscan, 25 Ether supplémentaires ont été envoyés à un portefeuille désigné comme Chainflip1.
Un autre utilisateur avait prévenu l’exploitant de l’erreur, lui conseillant de « ne pas célébrer », car tous les fonds avaient été transférés vers l’URL de l’escroquerie Tornado Cash.
« C’est vraiment dévastateur. Tout a été perdu à cause d’un site frauduleux », a réagi le hacker.
Retour sur l’exploitation de 9,6 millions de dollars de zkLend
Le protocole zkLend a subi une exploitation alarmante le 11 février, lorsqu’un attaquant a utilisé un dépôt minime et des prêts flash pour manipuler l’accumulateur de prêt, d’après le rapport d’analyse du protocole publié le 14 février.
Le hacker a exploité des erreurs d’arrondi en effectuant des dépôts et des retraits répétés, ce qui a amplifié les erreurs en raison de l’accumulateur gonflé.
Après le vol, l’attaquant a tenté de transférer les fonds vers Ethereum mais a échoué à les blanchir via Railgun, qui a renvoyé les fonds à leur adresse d’origine.
Suite à cette exploitation, zkLend a proposé que le hacker conserve 10 % des fonds en tant que récompense et a offert de l’exempter de toute responsabilité légale, à condition que le reste de l’Ether soit retourné.
Lié : Le protocole DeFi SIR.trading perd 355 000 $ de TVL dans une situation désastreuse
La date limite fixée au 14 février pour cette offre est passée sans réponse publique des deux parties. Dans une mise à jour publiée le 19 février sur X, zkLend a annoncé une prime de 500 000 $ pour toute information vérifiable menant à l’arrestation du hacker et à la récupération des fonds.
Les pertes dues aux escroqueries, exploits et hacks dans le secteur crypto ont atteint plus de 33 millions de dollars en mars, selon CertiK, une société de sécurité blockchain. Ce chiffre a ensuite diminué à 28 millions de dollars après que l’agrégateur d’échanges décentralisés 1inch a réussi à récupérer ses fonds volés.
En février, les pertes liées à des escroqueries crypto, exploits et hacks ont frôlé 1,53 milliard de dollars, avec l’attaque de 1,4 milliard de dollars sur Bybit par le groupe Lazarus de Corée du Nord, établissant un nouveau record dans l’histoire des hacks crypto, surpassant le vol de 650 millions de dollars du pont Ronin en mars 2022.