Хакер Voltage Finance снова активен: украденные эфиры направлены через Tornado Cash

Первоначальный взлом произошёл в марте 2022 года, когда злоумышленник использовал уязвимость в функции обратного вызова токенов стандарта ERC-677. Он провёл атаку повторного входа, опустошив кредитный пул платформы. Впоследствии стало известно, что были похищены USDC, Binance USD (BUSD), ETH и wBTC. Voltage Finance тогда пометила адрес хакера на Etherscan и обратилась к криптобиржам с просьбой блокировать любые операции с ним. Также команда платформы пыталась наладить контакт с хакером, предлагая вознаграждение в обмен на возврат активов.

Спустя три года, 18 марта 2025 года, платформа снова оказалась под ударом — на этот раз атака затронула пулы Simple Staking. В результате атаки было похищено криптовалют на $322 000. Через два дня, 20 марта, Voltage Finance сделала официальное предложение хакеру: $50 000, если тот согласится вернуть активы.

Команда проекта также сообщила, что подозревает одного из разработчиков, имевших доступ к пулу, в возможной причастности к атаке. Хотя прямых доказательств представлено не было, доступ подозреваемому незамедлительно ограничили. В настоящее время ведётся сотрудничество с правоохранительными органами и крупными централизованными биржами для расследования инцидента.

В криптомире такие случаи нередко заканчиваются возвратом средств: хакер, атаковавший протокол ZKsync в апреле, вернул 90% украденного, оставив себе часть в качестве “вознаграждения”. Аналогичным образом поступил и злоумышленник, взломавший децентрализованную биржу KiloEx, вернув платформе часть активов.