Хакер, атаковавший децентрализованный кредитный протокол zkLend на блокчейне Starknet в феврале, лишился значительной части украденных средств из-за собственной жадности и недальновидности. Фактически произошел случай "вор у вора дубинку украл" — и это не первоапрельская шутка.
История началась 11 февраля, когда злоумышленник обнаружил и активно эксплуатировал уязвимость в системе. Атакующий делал небольшие депозиты и срочные займы для увеличения кредитного аккумулятора. Затем хакер выполнил серию депозитов и снятий, используя ошибки округления (чем больше аккумулятор, тем значительнее ошибка в пользу пользователя). В результате протокол потерял около $9,6 млн.
После этого хакер конвертировал все похищенные средства в Ethereum, но не смог отмыть их через Railgun. После взлома zkLend предложил хакеру сохранить 10% средств в качестве вознаграждения и пообещал освободить от юридической ответственности и проверок со стороны правоохранительных органов. Однако хакер отклонил предложение, решив присвоить всю сумму, но в итоге потерял "криптомиллионы".
Злоумышленник попытался отмыть 2930 ETH стоимостью около $5,5 млн через известный криптомиксер Tornado Cash. Однако вместо оригинального сервиса он отправил ETH на фишинговый сайт. В результате все средства ушли к другим мошенникам, что подтвердили аналитики Lookonchain.
Позже хакер отправил сообщение команде zkLend с извинениями, сообщив, что потерял все монеты.
Хотя есть предположения, что между хакером и владельцами фишингового сайта может быть связь, доказательств этому пока нет. Ну и это не освобождает мошенника от ответственности.
