Отмывал через Tornado Cash — и сам попался: минус $10 млн

Украл 3000 ETH — и сам стал жертвой. Хакер попытался скрыть следы через Tornado Cash, но попался на фейковый сайт. Миллионы ушли в реальный контракт, а доступ к ним — навсегда утерян. В отчаянии он оставил прощальное сообщение прямо в блокчейне.

По мере того как децентрализованные финансы и анонимные криптосервисы набирают обороты, всё больше злоумышленников используют криптомиксеры, чтобы замести следы и скрыть происхождение украденных средств. Один из самых известных инструментов для этого — Tornado Cash. Он позволяет "разорвать цепочку" между отправителем и получателем, делая транзакции практически неотслеживаемыми.

Даже самые продуманные мошеннические схемы могут развалиться, когда вмешивается человеческий фактор — спешка, невнимательность или вера в собственную неуязвимость. Именно это и произошло в начале 2025 года: хакер, пытавшийся замести следы после кражи, неожиданно сам стал жертвой, чем привлёк внимание криптосообщества.

Хакер, укравший крупную сумму и решивший отмыть её через Tornado Cash, сам стал жертвой фишинга. Он зашёл на поддельный сайт, внешне неотличимый от настоящего, отправил туда средства, но не получил секретный код, необходимый для их вывода. Деньги ушли в настоящий контракт, но забрать их теперь не получится.

На первый взгляд — ещё один эпизод из мира криптовалют. Но если смотреть глубже, история символична: тот, кто хотел спрятать украденное, сам попался в ловушку, потеряв всё — в пользу других мошенников. По сути, хакер оказался жертвой собственного подхода.

Как всё произошло: от хищения до безвозвратной утраты

На первый взгляд, действия адреса 0xD89B7236f4eA38a2AfC1d614Dc3De08A190f1Ff5 не вызывали подозрений. Он последовательно переводил крупные суммы ETH в смарт-контракт Tornado Cash. Всё выглядело как стандартная схема анонимизации: отправка средств, ожидание, получение секретного кода (note) и последующий вывод на "чистый" адрес.

Но на этот раз операция закончилась полной неудачей. Причиной стала не ошибка в контракте или сбой сети, а куда более банальная вещь — использование фишингового сайта, замаскированного под оригинальный интерфейс Tornado Cash.

Чтобы лучше понять ход событий, ниже представлена схема, иллюстрирующая движение средств в рамках данного инцидента. На графе видно:

• с какого адреса были отправлены средства;
• как они попали в смарт-контракт Tornado Cash;
• кто является конечным получателем части криптоактивов.

Граф наглядно демонстрирует, что средства действительно оказались в настоящем контракте, но без валидного секретного кода их невозможно вывести — даже самому отправителю.

Фальшивый интерфейс, реальный контракт, потерянные средства

Злоумышленник зашёл на поддельную версию сайта Tornado Cash, визуально идентичную настоящему. Такие фишинговые dApp-интерфейсы часто работают с реальными контрактами, однако подменяют критически важные элементы — в данном случае секретный код, который выдаётся пользователю после внесения депозита.

Именно этот код (note) служит единственным доказательством права на последующий вывод средств из контракта Tornado Cash. Если пользователь его не получил или получил неверный код, он больше не сможет доказать, что является владельцем депозита — даже если средства действительно находятся в настоящем контракте.

Так, хакер перевёл 2930 ETH (примерно $10 млн) в смарт-контракт Tornado Cash, но из-за фишингового интерфейса не получил действительный note. В результате — он утратил доступ к криптовалюте навсегда.

Пользователь блокчейна и его сообщения хакеру.

Как ни странно, блокчейн оказался не только местом для потери миллионов, но и своеобразным чатом для кратких, но выразительных реплик. Спустя несколько часов после инцидента в истории появился новый персонаж — пользователь с адресом 0x914d73E3..., который, по всей видимости, решил не упустить шанс вставить колкое словцо.

В духе тонкого веб3-сарказма он оставил хакеру два коротких сообщения прямо в блокчейне. Без сочувствия, но с чёткой моралью:

А затем, будто закрепляя эффект:

Ответ, достойный всей этой абсурдной истории: преступник, решивший спрятаться в анонимности, сам стал мишенью — только уже не регуляторов или полиции, а других обитателей крипто-джунглей. Возможно, это были "белые хакеры". Возможно — конкуренты. А, может быть, просто кто-то, кто оказался проворнее.

В любом случае, это стало финальным штрихом в цифровом портрете поражения: вместо очищенных и безопасных средств — публичная пощёчина.

Осознав, что вернуть средства невозможно, хакер предпринял редкий для криптопреступника шаг — публично признал свою ошибку в сообщении прямо в блокчейне. Он отправил его на адрес, связанный с проектом zkLend, предположительно пострадавшим от его атаки:

*- Речь идёт про фишинговую платформу, которой воспользовался zkLend hacker.

Это послание стало неожиданным разворотом в истории — своего рода цифровым раскаянием, зафиксированным в блокчейне. Оно подчёркивает: даже в среде анонимных операций человеческий фактор остаётся самой уязвимой частью схемы.

Ответ от команды zkLend

На это сообщение вскоре последовал краткий ответ от адреса, связанного с командой zkLend:

Судя по всему, возвращать было уже нечего. Это было не столько требование, сколько жест, обозначающий окончание диалога — без компромиссов, без сожаления.

Как работает фишинг в DeFi: подделка интерфейса, настоящие потери

Одной из уникальных особенностей децентрализованных приложений (dApp) является то, что их интерфейс отделён от логики. Пользователь взаимодействует с фронтендом сайта, который лишь направляет транзакции в смарт-контракт — сам код которого может быть настоящим. Это создаёт благоприятную почву для фишинговых атак, особенно если речь идёт о таких популярных сервисах, как Tornado Cash.

В случае с хакером, потерявшим 2930 ETH, вероятнее всего, был использован оригинальный контракт Tornado Cash, но доступ к нему происходил через фальшивый сайт, визуально идентичный настоящему. Такой сайт:

Проблема в том, что система Tornado Cash не хранит никакой связи между адресом и депозитом — всё держится на знании уникального кода. Если пользователь его не получил (или получил не тот), он теряет возможность воспользоваться деньгами, которые сам же внёс.

Это уязвимость не платформы, а пользователя: смарт-контракт не знает, через какой сайт к нему обращаются. Именно поэтому основная атака была направлена на интерфейс, а не на сам Tornado Cash.

Ситуация с хакером, потерявшим награбленное из-за фишингового сайта, напоминает сюжет из антиутопии: преступник, намеревавшийся очистить деньги с помощью Tornado Cash, сам оказался жертвой. Но эта история — не просто курьёз. Она подчёркивает сразу несколько вещей, важных как для пользователей, так и для профессионалов в криптопространстве.

История с потерей 2930 ETH — это не просто технический казус. Это зеркальное отражение криптомира, где анонимность и безопасность — это личная ответственность, а карма может проявиться в форме строки, записанной в блокчейне.