Hacker de zkLend pierde $9.6M en ETH por estafa de phishing que imitaba a Tornado Cash

Introducción

El mundo de las criptomonedas no deja de sorprender con sus giros irónicos. En febrero, el protocolo DeFi zkLend sufrió un ataque en el que un hacker se llevó aproximadamente $9.6 millones en Ethereum (ETH). Sin embargo, en un giro del destino, el mismo atacante perdió gran parte de su botín al caer en una estafa de phishing que imitaba a Tornado Cash, el popular mezclador de criptomonedas.

El Confeso del Hacker: Un Mensaje de Arrepentimiento

A través de un mensaje enviado vía Etherscan, el hacker expresó su frustración: «Estoy devastado. Lamento el caos causado». Según su relato, intentó utilizar Tornado Cash para lavar los fondos robados, pero terminó enviando 2,930 ETH (equivalente a unos $9.6 millones) a una dirección fraudulenta que simulaba ser el servicio legítimo.

La Respuesta de zkLend y los Fondos Restantes

Mientras tanto, zkLend no ha bajado la guardia. El protocolo exige la devolución de los fondos restantes y ha seguido de cerca los movimientos del hacker. Recientemente, se detectó que 25 ETH fueron transferidos a una billetera etiquetada como «Chainflip1», lo que sugiere que el atacante aún conserva parte del dinero robado.

Advertencia Ignorada: El Error que Costó Millones

Lo más llamativo es que el hacker recibió una advertencia. Un usuario le alertó sobre el sitio falso de Tornado Cash, pero fue ignorada. «Todo se fue por un sitio web equivocado», admitió el atacante después de perder los fondos. Una lección dura sobre los riesgos del phishing, incluso para quienes están del otro lado de los hackeos.

Detalles del Ataque a zkLend en Febrero

El robo inicial ocurrió gracias a una técnica conocida como «mercado vacío», donde el hacker utilizó flash loans para explotar errores de redondeo y manipular un acumulador inflado en el protocolo. Tras el incidente, zkLend ofreció una recompensa por la recuperación de los fondos y amenazó con acciones legales si el dinero no era devuelto.

Contexto de Pérdidas en el Ecosistema Cripto

Este caso se suma a una ola de pérdidas en el ecosistema. Según un informe de CertiK, en marzo se registraron $33 millones en pérdidas por hacks y estafas, una cifra menor comparada con los $1.53 mil millones perdidos en febrero, mes en el que el grupo Lazarus atacó el exchange Bybit.

Lecciones y Consecuencias

Este incidente deja varias enseñanzas:

El phishing no discrimina: Ni siquiera los hackers están a salvo de caer en trampas.
Verificar es crucial: Una URL mal escrita puede costar millones.
La ironía del destino: Quien roba, también puede ser robado.

Conclusión

La historia del hacker de zkLend que perdió su botín en un sitio falso de Tornado Cash es un recordatorio de los peligros en el mundo de las criptomonedas. Más allá de la ironía, refuerza la necesidad de extremar precauciones en cada transacción. En un espacio donde la seguridad es clave, hasta los atacantes pueden convertirse en víctimas.