ZkLend istismarı, bilgisayar korsanının kimlik avı dolandırıcılığına 9,6 milyon dolar değerinde ETH kaybetmesiyle ters tepti

Starknet tabanlı kredi platformu zkLend'in 9,6 milyon dolarlık açığını değerlendiren hacker, çalınan 2.930 ETH'lik tüm varlığını bir kimlik avı dolandırıcılığında kaybetti.

Şaşırtıcı bir gelişme olarak saldırgan, paraları aklamaya çalışırken farkında olmadan Tornado Cash'in (popüler bir kripto para karıştırıcısı) sahte bir versiyonuna para yatırdı.

Bu son gelişme, gelişmiş siber suçluların bile istismar ettikleri ekosistem içindeki dolandırıcılıkların kurbanı olduğu artan bir eğilimi vurguluyor.

Kayıp, Consensys destekli siber güvenlik projesi De.Fi Antivirus Web3 tarafından 31 Mart'ta X'te yaşanan olayla ilgili olarak doğrulandı.

Blockchain verileri de bu iddiayı destekliyor ve sahte siteye net bir para çıkışı olduğunu, ardından da hacker'ın hasar kontrolü amacıyla zkLend'in dağıtım adresine bir mesaj gönderdiğini gösteriyor.

Saldırgan zkLend ile iletişim kuruyor

Zincir üstü kanıtlar, hacker'ın çalınan fonları Tornado Cash olduğunu düşündükleri şeyi kullanarak gizlemeye çalıştığını gösteriyor. Ancak, karıştırıcı site bir aldatmacaydı.

Yatırılan paralar anında tükendi.

Saldırgan hatasını fark ettikten kısa bir süre sonra zkLend'e zincir üzerinde bir mesaj göndererek hatasını kabul etti.

Mesajda, saldırganın bir kimlik avı sitesini kullandığını ve her şeyini kaybettiğini kabul ettiği belirtiliyor.

Pişmanlıklarını dile getirdiler ve zkLend'i kendileri yerine kimlik avı dolandırıcılığı operatörlerini takip etmeye odaklanmaya teşvik ettiler.

Bu, saldırganın protokolle ilk iletişimi değildi.

12 Şubat'taki saldırının ardından zkLend, saldırganın kalan parayı 14 Şubat'a kadar iade etmesi halinde %10 ödül teklif ederek pazarlık yapmaya çalışmıştı.

Bu son tarih herhangi bir yanıt alınamadan geçti ve zkLend, Starknet Vakfı, StarkWare ve Binance Security'den kolluk kuvvetleri ve siber güvenlik uzmanlarını sürece dahil etmeye yöneldi.

2025'in 1. çeyreğindeki en önemli kripto saldırıları arasında

ZkLend ihlali yılın şu ana kadarki en büyük ihlallerinden biriydi.

Immunefi'nin 2025 Birinci Çeyrek raporuna göre, 2025'in ilk üç ayı kripto güvenlik tarihindeki en kötü çeyrek oldu.

Çeşitli platformlarda toplam 1,64 milyar dolar çalındı. Bunun 106,8 milyon doları, merkezi olmayan finans (DeFi) protokollerinden 38 olayda çalındı.

Ethereum ve BNB Chain ilk iki hedefti. Merkezi platformlar, yalnızca iki kez vurulmuş olsalar da, kayıpların büyük çoğunluğundan sorumluydu ve 1,5 milyar dolar çalındı.

Sadece zkLend açığında hedefli bir akıllı sözleşme saldırısında 2.930 ETH çalındı.

Şu anda değeri yaklaşık 9,6 milyon dolar olan bu ETH'nin kaybı, kimlik avı hatasını kripto hırsızlığı tarihinde önemli bir an haline getiriyor, çünkü yalnızca çalınan fonları silmekle kalmıyor, aynı zamanda hem saldırganların hem de kurbanların DeFi ekosistemindeki güvenlik açıklarını da ortaya çıkarıyor.

Sahte mikserler artan bir tehdit

Saldırganın başarısız kara para aklama girişimi, yeni bir risk katmanına ışık tutuyor: Meşru kripto araçlarının sahte sürümleri.

Gizlilik için kullanılan tanınmış bir kripto karıştırma hizmeti olan Tornado Cash, defalarca kimlik avı dolandırıcılıklarının hedefi oldu.

Güvenlik protokolleri hacklenen varlıkları kurtarmak için artırılırken, kimlik avı siteleri artık çalınan paraları aklanmadan önce ele geçiriyor.

Bu eğilim ekosistemin güvenliği konusunda daha geniş endişeleri gündeme getiriyor.

İleri düzey yöntemler kullanan deneyimli hacker'lar bile, ikna edici sahte araçlarla kandırılabiliyor.

Bu durum, kolluk kuvvetleri ve kurtarma uzmanlarının çalışmalarını da zorlaştırıyor çünkü kimlik avı sitelerinin hedef adresleri çoğunlukla iz bırakmadan kayboluyor veya bilinmeyen operatörler tarafından kontrol ediliyor.

Kayıpların artmasıyla birlikte sektör analistleri, DeFi protokollerini ve kripto kullanıcılarını operasyonel güvenliği iyileştirmeye çağırıyor.

Bu arada zkLend davası, kripto para istismarları açısından zaten rekor kıran bir çeyrekten çıkan uyarıcı hikayelerin listesine bir yenisini daha ekliyor.