Hacker explota cuenta admin de ZKsync: Acuña $5M en tokens ZK sin reclamar

Introducción

El ecosistema DeFi vuelve a estar en alerta. El 15 de abril, un hacker logró comprometer una cuenta administrativa de ZKsync, el protocolo Layer-2 basado en zk-Rollups, y acuñó ilegalmente 111 millones de tokens ZK, equivalentes a $5 millones. El ataque se dirigió específicamente a los contratos de distribución del airdrop en curso, aunque, según el equipo de ZKsync, los fondos de los usuarios no se vieron afectados.

A pesar de las garantías oficiales, el incidente ha generado preocupación en la comunidad, especialmente por el aumento repentino en la oferta circulante de ZK y la caída en su precio.

Detalles del Ataque

El hacker aprovechó una función llamada sweepUnclaimed(), diseñada para recuperar tokens no reclamados del airdrop. Al comprometer la cuenta administrativa, el atacante obtuvo acceso a tres contratos de distribución, permitiéndole acuñar los tokens fraudulentamente.

• Impacto monetario: La emisión ilegal aumentó en un 0.45% el suministro total de ZK.
• Situación actual: Según los últimos datos, el hacker aún retiene la mayoría de los fondos robados, sin movimientos significativos hacia exchanges o mezcladores como Tornado Cash.

Respuesta de ZKsync y Medidas de Seguridad

El equipo de ZKsync actuó rápidamente:

• Parcheó la vulnerabilidad en la función sweepUnclaimed().
• Coordinó con Security Alliance (SEAL), una organización especializada en recuperación de activos robados en cripto.
• Aseguró que los contratos de gobernanza y los tokens de los usuarios no fueron comprometidos.

Sin embargo, el incidente expone un problema recurrente en DeFi: los riesgos de las cuentas administrativas centralizadas, incluso en protocolos que promueven la descentralización.

Contexto sobre ZKsync

ZKsync es una de las soluciones de escalado más populares para Ethereum, con:

• $57.3 millones en TVL (según DefiLlama).
• Un airdrop en marcha que distribuye 17.5% del suministro total de ZK a usuarios elegibles.

El ataque llega en un momento crítico, justo cuando el proyecto busca consolidarse como una alternativa eficiente y segura frente a competidores como Arbitrum y Optimism.

Reacción del Mercado

El precio de ZK cayó un 16% tras el hack, tocando un mínimo de $0.040, aunque luego se recuperó parcialmente a $0.047 (aún con una pérdida del 7% en 24h).

Este caso se suma a una ola de exploits en 2025:

• $2 mil millones perdidos en Q1 2025 (vs. $2.3 mil millones en todo 2024).
• Otros incidentes recientes incluyen el hack a KiloEx, donde los desarrolladores ofrecieron $750K de recompensa al atacante.

Implicaciones y Lecciones

Este hack deja varias enseñanzas:

1. Las cuentas con privilegios son un imán para hackers, incluso en protocolos “descentralizados”.
2. Las auditorías de seguridad deben ser exhaustivas, especialmente en funciones administrativas.
3. Los airdrops son objetivos frecuentes, por la complejidad en su implementación.

Conclusión

Aunque ZKsync ha manejado el incidente con transparencia, el daño a su reputación es inevitable. Este caso refuerza la necesidad de mecanismos de seguridad más robustos y una verdadera descentralización en el ecosistema DeFi.

Mientras tanto, los inversores deberán estar atentos a nuevos desarrollos, especialmente si el hacker intenta liquidar los fondos robados.

¿Cómo proteger tus activos en DeFi? Mantente informado y prioriza protocolos con historial de seguridad sólida.

Publicaciones relacionadas:

Arbitrum: La Nueva Plataforma de Arbitraje Blockchain para Ethereum UBS Blockchain Initiative: Cómo la Privacidad y la Escalabilidad Están Transformando el Sector Financiero ¿Te Espían las Apps de Mensajería? Protege tu Privacidad en 2025 Bybit Recupera el 7% de Cuota de Mercado Tras Histórico Hackeo de $1,400 Millones