출처: 토큰포스트
zkLend를 해킹해 약 970만 달러(약 141억 6,200만 원)를 탈취했던 해커가 아이러니하게도 또 다른 암호화폐 사기에 당하며 540만 달러(약 79억 900만 원) 상당의 이더리움(ETH)을 잃은 것으로 나타났다.
1일(현지시간) zkLend는 공식 X(구 트위터)를 통해 해커가 탈취한 자금을 세탁하려던 과정에서 사기 사이트 ‘토네이도캐시(tornadoeth[.]cash)’에 속아 보유하고 있던 2,930ETH를 모두 도난당했다고 밝혔다. 해당 웹사이트는 합법적인 프라이버시 툴인 토네이도캐시(Tornado Cash)로 위장한 피싱 사이트로, 지난 5년간 활동한 위력이 있었던 것으로 알려졌다.
해커는 zkLend 측에 온체인 메시지를 통해 “나는 토네이도로 자금을 옮기려다 피싱 사이트를 이용해 모든 ETH를 잃었다. 매우 절망적이며, 발생한 피해에 정말 미안하다”고 전했다. 그는 “사이트 운영자를 겨냥해 자금을 일부라도 회수해보기를 바란다”고 덧붙였다.
이번 사태의 발단은 지난 2월 발렌타인데이를 앞두고 발생한 zkLend 해킹 사건이다. 당시 스타크넷(Starknet)을 기반으로 하는 이 대출 프로토콜은 정밀도를 다루는 소수점 오류를 악용한 해커로부터 총 3,700ETH를 도난당했다. 이 과정에서 플랫폼은 출금을 일시 중단하기도 했다. zkLend는 이후 피해액의 10%를 포상금으로 지급하겠다는 화이트햇 제안을 했지만, 해커는 이를 거부하고 ETH를 레일건(Railgun) 등 프라이버시 툴을 사용해 분산시켰다.
그러나 이번 해커의 주장에 대해 암호화폐 커뮤니티에서는 의문이 제기되고 있다. 일부 이용자들은 이 해커가 자금을 다른 지갑으로 이송한 뒤, 자취를 감추기 위한 위장 술책일 수 있다는 의혹을 제기했다. X 사용자 @pvt.eth는 “딱 만우절에 맞춘 타이밍”이라며 조롱했고, @0xGekko는 “조사망을 벗어나려는 의도일 수 있다”며, 이같은 설명이 믿기 어렵다고 반응했다.
zkLend 측은 이번 피해 주장이 진짜일 가능성에 무게를 두고 있으나, 해커와 피싱 사이트 운영자 사이에 직접적인 연계는 확인되지 않았다고 밝혔다. 현재 zkLend는 보안업체 및 수사기관과 협력해 해당 사건을 추적 중이다.
한편, 이 사건은 블록체인상에서 범죄 수익을 은닉하거나 세탁하려는 시도가 여전히 피싱과 사기의 표적이 되고 있음을 다시 한번 보여준다. 토네이도캐시처럼 프라이버시 기능을 갖춘 정식 툴과 유사한 이름을 가진 사기 사이트들이 암호화폐 범죄자조차 속이고 있다는 점도 업계의 경각심을 높이고 있다.
