Puntos Clave de la Noticia
- Consecuencias del phishing: El hacker perdió la totalidad de sus 2930 ETH (aproximadamente $9,6 millones) al depositar fondos por error en una plataforma falsa de Tornado Cash durante un intento de lavado de activos.
- Origen del exploit: Tras la explotación de una falla en un smart contract el 12 de febrero, las negociaciones iniciales con zkLend fracasaron, lo que culminó en una pérdida irreversible por phishing.
- Alerta de Seguridad DeFi: Este incidente pone de manifiesto que incluso los ciberdelincuentes pueden ser víctimas de estafas, lo que pone de relieve la urgente necesidad de una mayor seguridad en los protocolos DeFi.
El hacker responsable del exploit de zkLend perdió la totalidad de sus 2930 ETH (valoradas en aproximadamente $9,6 millones) por una estafa de phishing al intentar blanquear los fondos robados. El atacante depositó los activos por error en una plataforma falsa de Tornado Cash, lo que provocó una pérdida inmediata e irreversible.
El incidente ocurrió el 31 de marzo, cuando el hacker intentó transferir los Ethereum robados a través de Tornado Cash, un popular servicio de mezcla de criptomonedas. Sin embargo, en lugar de usar la plataforma legítima, sin saberlo, interactuó con una interfaz fraudulenta diseñada para suplantar a Tornado Cash.
La Súplica Desesperada del Hacker
Al darse cuenta demasiado tarde de su error, el hacker envió un mensaje en cadena a la dirección de implementación de zkLend, admitiendo su error. Se disculpó por el ataque e instó a zkLend a centrar sus esfuerzos de recuperación en los operadores de la estafa de phishing en lugar de perseguirlos.
«Intenté transferir fondos a Tornado, pero usé un sitio web de phishing y perdí todos los fondos. Estoy devastado», escribió el hacker.
El Exploit de zkLend y las Negociaciones Fallidas
El ataque original a zkLend ocurrió el 12 de febrero, cuando el atacante explotó un error de redondeo en los smart contracts del protocolo. Mediante préstamos relámpago y pequeños depósitos, manipularon el acumulador de préstamos de zkLend, extrayendo 2930 ETH antes de ser detectados.
Tras el exploit, zkLend intentó negociar con el hacker, ofreciéndole una recompensa del 10% a cambio de la devolución de los fondos restantes. Cuando el hacker ignoró la fecha límite, zkLend escaló el asunto a las autoridades y reclutó a expertos en seguridad de Starknet Foundation, StarkWare y Binance Security para rastrear los activos robados.
Una Dura Lección sobre la Seguridad de las DeFi
Este incidente pone de relieve los crecientes riesgos en las DeFi, donde incluso los hackers pueden ser víctimas de estafas. Según el informe del primer trimestre de 2025 de Immunefi, en los primeros tres meses del año se robaron $1.640 millones en brechas de seguridad de criptomonedas, y el hackeo de zkLend se ubicó entre los cinco principales exploits.
A medida que las DeFi continúan evolucionando, la seguridad sigue siendo una preocupación acuciante, no solo para los usuarios legítimos, sino también para los ciberdelincuentes. En este caso, la codicia de los hackers finalmente condujo a su caída, lo que demuestra que incluso en el mundo de las criptomonedas, el crimen no siempre paga.
