Хакер, который еще в феврале обокрал децентрализованный протокол кредитования на Starknet под названием zkLend, потерял значительную часть украденных средств из-за собственной жадности и недальновидности. Де-факто, воры обокрали вора (и это не первоапрельская шутка).
Все началось с того, что хакер нашел уязвимость и активно ее использовал в течение 11 февраля. Злоумышленник делал небольшие депозиты и срочные займы, чтобы увеличить кредитный накопитель. Затем хакер несколько раз вносил и снимал средства, используя ошибки округления (чем больше был накопитель, тем больше была ошибка в пользу пользователя). На тот момент протокол таким образом потерял около $9,6 млн.
Позже хакер конвертировал все украденные средства в Ethereum, но не смог отмыть через Railgun. После эксплойта zkLend предложил хакеру оставить 10% средств себе в качестве вознаграждения и обещал освободить его от юридической ответственности или проверок со стороны правоохранительных органов. Но умник не принял предложение. Вместо этого умник решил присвоить все средства, но в результате остался ни с чем.
Злоумышленник пытался отмыть 2930 ETH на сумму около $5.5 млн через известный криптомикшер Tornado Cash. Но вместо использования оригинального, он отправлял свои ETH на фишинговый сайт tornadoeth[.]cash. И успешно слил свои средства другим ворам, что подтвердили и аналитики Lookonchain.
Позже хакер прислал сообщение zkLend, где попросил прощения и сказал, что потерял все монеты.
Однако есть предположение, что этот хакер и владельцы фишингового сайта могут быть связаны. Хотя доказательств этому пока нет.
