De hacker die eerder dit jaar $9,6 miljoen buitmaakte bij zkLend, heeft een groot deel van die winst zelf weer verspeeld. Niet aan justitie of speurders, maar aan een simpele phishing-website. In een wanhopig bericht liet hij weten ruim 2.900 ETH te hebben verloren aan een nepversie van Tornado Cash.

“Alles kwijt door één verkeerde klik”

De dief probeerde een deel van het gestolen geld anoniem te maken via Tornado Cash, een tool die transacties op de blockchain ontraceerbaar maakt. Alleen bleek de site die hij gebruikte een nagemaakte versie – met een scammer aan de andere kant.

“Ik ben alles kwijt. Ik gebruikte per ongeluk een phishing-site en nu is alles weg,” schreef hij aan zkLend via een bericht op Etherscan.

“De hele 2.930 ETH zijn gestolen. Ik heb niets meer. Misschien kunnen jullie de daders opsporen.”

In totaal stuurde hij meer dan $5,4 miljoen in Ether naar het verkeerde adres, in meerdere transacties van 100 ETH per keer. Een andere gebruiker probeerde hem nog te waarschuwen:

“Vier het niet te vroeg. Je hebt alles naar een scam gestuurd.” Het antwoord van de hacker? “Het is echt vernietigend.”

zkLend vraagt om terugbetaling

ZkLend reageerde met de oproep om dan in elk geval de resterende crypto in zijn wallet terug te sturen. Toch stuurde de hacker daarna nog 25 ETH naar een ander walletadres, ‘Chainflip1’. Van enige spijt of herstel lijkt dus geen sprake.

Hoe de hack van zkLend werkte

De originele aanval vond plaats op 11 februari. De hacker maakte gebruik van een zogenaamde flash loan – een supersnelle lening zonder onderpand – en een kleine storting om het uitleenmechanisme van zkLend te manipuleren. Door telkens geld te storten en weer op te nemen, wist hij via een fout in de afrondingen miljoenen los te peuteren.

Hij bracht het gestolen geld over naar Ethereum, maar kreeg het later niet witgewassen via Railgun: dat platform herkende de verdachte fondsen en stuurde ze terug naar het oorspronkelijke adres.

ZkLend bood de aanvaller destijds nog een deal aan: als hij 90% van het geld zou teruggeven, mocht hij de rest houden en zouden ze geen juridische stappen ondernemen. Maar die deadline verstreek zonder enige reactie.

Beloning van $500.000 voor tips

Toen de hacker niets van zich liet horen, zette zkLend een nieuwe stap. Ze loofden een half miljoen dollar uit voor iedereen die betrouwbare informatie heeft die kan leiden tot arrestatie of het terugvinden van de gestolen crypto.

Phishing, hacks en scams blijven industrie teisteren

Volgens blockchainbeveiligingsbedrijf CertiK werd er in maart meer dan $33 miljoen gestolen via hacks, scams en exploits. Dat bedrag daalde naar $28 miljoen nadat 1inch zijn gestolen crypto wist terug te halen.

Februari was nog veel extremer. Toen ging er in totaal bijna $1,53 miljard verloren – met als dieptepunt de aanval van $1,4 miljard op Bybit, die wordt toegeschreven aan de Noord-Koreaanse Lazarus Group. Die aanval was de grootste ooit in crypto, en ruim twee keer zo groot als de bekende Ronin-hack uit 2022.