Хакер, який ще у лютому обікрав децентралізований протокол кредитування на Starknet під назвою zkLend, втратив значну частину вкрадених коштів через власну жадібність та недалекоглядність. Де-факто, крадії обікрали крадія (і це не першотравневий жарт).
Все почалось з того, що хакер знайшов вразливість і активно її використовував протягом 11 лютого. Зловмисник робив невеликі депозити та термінові позики, щоб збільшити кредитний накопичувач. Потім хакер кілька разів вносив і знімав кошти, використовуючи помилки округлення (чим більший був накопичувач, тим більшою була помилка на користь користувача). На той момент протокол таким чином втратив близько $9,6 млн.
Пізніше хакер конвертував усі вкрадені кошти в Ethereum, але не зміг відмити через Railgun. Після експлойту zkLend запропонував хакеру залишити 10% коштів собі як винагороду та обіцяв звільнити його від юридичної відповідальності або перевірок з боку правоохоронних органів. Але розумник не прийняв пропозицію. Натомість розумник вирішив привласнити усі кошти, але у результаті залишився ні з чим.
Зловмисник намагався відмити 2930 ETH на суму близько $5.5 млн через відомий криптомікшер Tornado Cash. Але замість використання оригінального, він надсилав свої ETH на фішинговий сайт tornadoeth[.]cash. І успішно злив свої кошти іншим злодіям, що підтвердили й аналітики Lookonchain
Пізніше хакер надіслав повідомлення ZkLend, де попросив вибачення і сказав, що втратив усі монети.
Однак є припущення, що цей хакер та власники фішингового сайту можуть бути пов’язані. Хоча доказів цьому поки немає.
