zkLend 해커, 이더리움(ETH) 540만 달러를 Tornado Cash 피싱 사이트에 잃어버리다.

2월에 발생한 960만 달러 상당의 zkLend (CRYPTO:ZEND) 해킹 사건의 주인공이 Tornado Cash (CRYPTO:TORN)로 가장한 피싱 웹사이트에 2,930 ETH($540만)를 잃었다고 주장했습니다.

3월 31일 zkLend에 보내진 온체인 메시지에서, 공격자는 개인정보 보호 프로토콜의 가짜 프런트엔드에 자금을 입금했다고 인정하며 손실에 대한 후회를 표명했습니다.

“자금을 Tornado로 옮기려 했으나 피싱 웹사이트를 사용했고, 모든 자금을 잃었습니다. 정말 충격적입니다. 이혼란과 손실을 초래한 것에 대해 진심으로 죄송합니다,”라고 해커는 썼습니다.

해커는 “Tornado.Cash: Router”로 라벨이 붙은 피싱 주소에 100 ETH씩 여러 차례 입금을 했으며, 이후 최종적으로 10 ETH씩 세 번 입금했습니다.

다른 사용자로부터 “축하하지 마세요”라는 경고를 받았음에도 불구하고, 자금은 이미 소실되었습니다.

나중에 해커는 zkLend의 남은 자금을 반환해달라는 요청에도 불구하고 25 ETH를 Chainflip1 지갑으로 옮겼습니다.

이번 사건은 암호화폐 세탁 기술 내부의 취약점을 부각시킵니다.

zkLend의 스마트 컨트랙트의 반올림 오류를 겨냥한 960만 달러 플래시 론 해킹 후, 해커는 Railgun을 통해 자금을 은닉하려 했으나 프로토콜의 안전 장치가 돈을 돌려주었습니다.

피싱으로 인한 손실은 Tornado Cash와 같은 탈중앙화 믹싱 도구와 관련된 위험성을 강조하였습니다. 이러한 도구들은 사기꾼들의 일반적인 목표가 되었습니다.

zkLend는 처음에 도난당한 자금의 90%를 2월 14일까지 반환하는 조건으로 해커에게 10%의 현상금($330,000)을 제안했으나, 마감일까지 해결되지 않았습니다.

이후 해커의 체포로 이어질 정보에 대한 현상금은 $500,000로 인상되었습니다.

이 공격은 Immunefi 데이터에 따르면 2025년 1분기에 기록적인 16억 4천만 달러의 암호화폐 손실에 일조했습니다.

zkLend와 같은 DeFi 프로토콜은 총 38건의 사건에서 1억 680만 달러를 차지하였으나, 중앙화 금융의 보안 침해가 전체 손실을 주도했으며, 이에는 북한의 라자루스 그룹과 연결된 14억 달러의 Bybit 해킹이 포함되었습니다.

해커의 사과는 의구심을 불러일으켰으며, 일부는 그 진정성을 의문시했습니다.

SlowMist의 Yu Xian은 메시지의 연극적 어조와 돌연한 “은퇴” 주장에 주목하며, 이 의사소통의 진정한 의도에 대한 의문을 제기했습니다.

보고 당시, zkLend (ZEND)의 가격은 $0.008911, Tornado Cash (TORN)의 가격은 $7.33이었습니다.