In einem kuriosen Fall verlor dieser Tage ein Cyberkrimineller 5,4 Millionen Dollar in Ethereum, die er zuvor von der Kreditplattform zkLend gestohlen hatte. Der Dieb fiel auf eine Phishing-Seite herein, die sich als der Geldwsche-Dienst Tornado Cash ausgab.
Dieb wird bestohlen: Hacker verliert Millionenbeute
Ein Hacker, der im Februar 2025 rund 5,4 Millionen Dollar in Ethereum (ETH) von der dezentralen Kreditplattform zkLend stahl, wurde selbst Opfer eines Betrugs. Beim Versuch, die gestohlenen Kryptowhrungen ber den Mixer-Dienst Tornado Cash zu «waschen», nutzte der Angreifer versehentlich eine Phishing-Website und verlor die gesamte Beute an einen anderen Betrger.
In einer Nachricht ber Etherscan teilte der ursprngliche Hacker mit: «Hallo, ich habe versucht, die Gelder zu Tornado zu verschieben, aber ich habe eine Phishing-Website benutzt, und alle Gelder sind verloren gegangen. Ich bin am Boden zerstrt. Es tut mir schrecklich leid fr all das Chaos und die verursachten Verluste.» Insgesamt 2930 ETH im Wert von etwa 5,4 Millionen Dollar wurden in mehreren Transaktionen an eine geflschte Version von Tornado Cash gesendet.
Die ursprngliche Attacke und Folgen
Die Geschichte begann am 11. Februar 2025, als der Angreifer eine Schwachstelle in zkLends Smart-Contract-System ausnutzte. Wie Cointelegraph berichtet, nutzte der Hacker dabei einen sogenannten «Empty Market Exploit» und Flash-Loans, um den Lending-Akkumulator knstlich aufzublhen. Flash-Loans sind unbesicherte Kredite, die innerhalb einer einzigen Blockchain-Transaktion aufgenommen und zurckgezahlt werden mssen – ein beliebtes Werkzeug fr Krypto-Exploits.
Durch wiederholtes Einzahlen und Abheben konnte der Angreifer Rundungsfehler ausnutzen und letztlich insgesamt etwa 9,6 Millionen Dollar erbeuten. Diese Art von Angriffen ist in der «Decentralized Finance»-Welt nicht ungewhnlich, da komplexe Systeme oft subtile Schwachstellen aufweisen, die erst nach der Implementierung entdeckt werden.
Nach dem Angriff bot zkLend dem Hacker an, zehn Prozent der Summe als «Whitehack-Prmie» zu behalten, wenn er den Rest zurckgeben wrde. Als dieses Angebot unbeantwortet blieb, setzte die Plattform eine Belohnung von 500.000 Dollar fr Informationen aus, die zur Verhaftung des Hackers und zur Wiedererlangung der Gelder fhren knnten.
Der Fall zeigt exemplarisch die Gefahren im Krypto-kosystem – selbst fr technisch versierte Angreifer. Phishing-Angriffe, bei denen Betrger tuschend echte Kopien bekannter Websites erstellen, sind eine der hufigsten Bedrohungen. In diesem Fall hatte der zkLend-Hacker nicht genau genug geprft, ob er sich auf der echten Tornado-Cash-Website befand.
Tornado Cash selbst ist ein umstrittener Dienst, der 2022 von den US-Behrden sanktioniert wurde, weil er angeblich zur Geldwsche genutzt wurde. Der Dienst mischt Kryptowhrungstransaktionen, um ihre Herkunft zu verschleiern und so die Anonymitt zu erhhen. Trotz der Sanktionen wird der dezentrale Dienst weiterhin genutzt, da er auf Smart Contracts basiert, die nicht einfach abgeschaltet werden knnen.
Das Team von zkLend hat inzwischen erklrt, dass es keine eindeutigen Beweise dafr gibt, dass die Phishing-Website und der ursprngliche Angreifer in Verbindung stehen. Die Plattform arbeitet mit zentralisierten Kryptobrsen und Strafverfolgungsbehrden zusammen, um die Gelder zurckzuerlangen.
Was haltet ihr von diesem Fall von «Karma» in der Kryptowelt? Seid ihr berrascht, dass selbst Hacker auf Phishing-Betrug hereinfallen knnen? Teilt eure Gedanken dazu in den Kommentaren!
- Hacker stiehlt 5,4 Mio. Dollar in Ethereum von Kreditplattform zkLend
- Beim Waschen der Beute fllt Hacker auf Phishing-Seite herein
- Gesamte gestohlene Summe ging an anderen Betrger verloren
- Ursprnglicher Angriff nutzte Schwachstelle in Smart-Contract-System aus
- zkLend bot Hacker 10% als ‹Whitehack-Prmie› fr Rckgabe der Gelder an
- Fall zeigt Gefahren im Krypto-kosystem auch fr technisch Versierte
- zkLend arbeitet mit Behrden an Rckerlangung der gestohlenen Gelder
Siehe auch:
