Hacker de zkLend afirmó haber perdido gran parte de los ETH robados en un sitio de phishing de Tornado Cash

El hacker detrás del exploit de 9,6 millones de dólares del protocolo de préstamos descentralizado zkLend en febrero afirma que acaba de ser víctima de un sitio web de phishing que se hacía pasar por Tornado Cash, resultando en la pérdida de una porción significativa de los fondos robados.

En un mensaje enviado a zkLend a través de Etherscan el 31 de marzo, el hacker afirmó haber perdido 2.930 Ether de los fondos robados en un sitio web de phishing que se presentaba como un front-end de Tornado Cash.

En una serie de transferencias del 31 de marzo, el ladrón de zkLend envió 100 ETH a la vez a una dirección llamada Tornado.Cash: Router, finalizando con tres depósitos de 10 ETH.

“Hola, intenté mover fondos a un Tornado, pero usé un sitio web de phishing y todos los fondos se han perdido. Estoy devastado. Lo siento terriblemente por todo el caos y las pérdidas causadas”, dijo el hacker.

“Todos los 2.930 Eth han sido tomados por los propietarios de ese sitio. No tengo monedas. Por favor, redirige tus esfuerzos hacia esos propietarios del sitio para ver si puedes recuperar algo del dinero”, añadieron.

zkLend respondió al mensaje pidiéndole al hacker que “Devuelva todos los fondos que queden en tus carteras” a la dirección de la cartera de zkLend. Sin embargo, según Etherscan, otros 25 ETH fueron luego enviados a una cartera listada como Chainflip1.

Anteriormente, otro usuario advirtió al exploiter sobre el error, diciéndole, “no celebres”, porque todos los fondos fueron enviados a la URL fraudulenta de Tornado Cash.

“Es tan devastador. Todo se fue con un solo sitio web equivocado”, respondió el hacker.

Cómo fue hackeado zkLend por 9,6 millones de dólares

zkLend sufrió un exploit de mercado vacío el 11 de febrero cuando un atacante usó un pequeño depósito y préstamos flash para inflar el acumulador de préstamos, según el informe post-mortem del protocolo del 14 de febrero.

El hacker luego depositó y retiró fondos repetidamente, explotando errores de redondeo que se volvieron significativos debido al acumulador inflado.

El atacante transfirió los fondos robados a Ethereum y luego no logró lavarlos a través de Railgun después de que las políticas del protocolo los devolvieran a la dirección original.

Tras el exploit, zkLend propuso que el hacker podría quedarse con el 10% de los fondos como una recompensa y ofreció liberar al culpable de responsabilidad legal y del escrutinio de las fuerzas del orden si el Ether restante era devuelto.

La fecha límite de la oferta, el 14 de febrero, pasó sin una respuesta pública de ninguna de las partes. En una actualización del 19 de febrero en X, zkLend dijo que ahora ofrecía una recompensa de 500.000 dólares por cualquier información verificable que pudiera llevar al arresto del hacker y a la recuperación de los fondos.

Las pérdidas por estafas, exploits y hackeos de criptomonedas totalizaron más de 33 millones de dólares, según la firma de seguridad de la blockchain CertiK, pero cayeron a 28 millones de dólares después de que el agregador de exchanges descentralizados 1inch recuperara con éxito sus fondos robados.

Las pérdidas por estafas, exploits y hackeos de criptomonedas totalizaron casi 1.530 millones de dólares en febrero. El ataque del 21 de febrero de 1.400 millones de dólares a Bybit por parte del grupo Lazarus de Corea del Norte representó la mayor parte y se llevó el título del mayor hackeo de criptomonedas de la historia, duplicando el hackeo del puente Ronin de 650 millones de dólares en marzo de 2022.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.