En una irónica vuelta del destino, el hacker responsable del ataque al protocolo DeFi zkLend sufrió un «contraataque» y perdió más de 5,4 millones de dólares en una estafa que usó el nombre de Tornado Cash.
El ataque contra zkLend ocurrió en febrero, cuando el hacker robó 9,57 millones de dólares del protocolo. Sin embargo, este martes 2 de abril, el atacante supuestamente perdió 2.930 ETH, valorados en 5,4 millones de dólares, al intentar lavar los fondos robados.
Según información del propio zkLend, el hacker cayó en una trampa al intentar mover los fondos a través de Tornado Cash, un conocido mixer de criptomonedas. En lugar de usar la plataforma legítima, ingresó a un sitio falso llamado tornadoeth[.]cash, diseñado para robar fondos de quienes buscan ocultar sus transacciones.
Este sitio fraudulento, activo desde 2019, drenó de inmediato los 2.930 ETH que estaban en la cartera del hacker. Lo más curioso es que el atacante envió un mensaje encriptado a zkLend, admitiendo su error y pidiendo que rastreen a los responsables del fraude.
«Intenté mover fondos a Tornado Cash, pero usé un sitio de phishing y perdí todo el dinero. Estoy devastado. Lamento mucho la destrucción y las pérdidas causadas. Los 2.930 ETH fueron robados por los dueños de esa web… Por favor, redirijan sus esfuerzos hacia ellos para ver si pueden recuperar parte del dinero».
La historia comenzó en febrero, días antes de San Valentín, cuando el protocolo de préstamos basado en Starknet fue vulnerado. El hacker explotó una falla de precisión decimal en zkLend, manipulando los cálculos del sistema para inflar artificialmente su saldo.
Como resultado, robó alrededor de 3.700 ETH, obligando a la plataforma a pausar temporalmente los retiros. Posteriormente, zkLend intentó negociar con el hacker, ofreciéndole un 10% de recompensa sobre los fondos robados si devolvía el resto de los 3.300 ETH. Sin embargo, el atacante ignoró la oferta y comenzó a mover los fondos para ocultarlos.
Esta estrategia duró hasta que el hacker cayó en la estafa de Tornado Cash, perdiendo gran parte del botín.
¿Un engaño dentro del engaño?
No todos creen en la versión del hacker. Algunos usuarios han cuestionado la historia del phishing, sugiriendo que el atacante inventó la pérdida de fondos para despistar a los investigadores.
Dado que zkLend ha estado rastreando activamente los fondos con ayuda de empresas de seguridad blockchain y la policía, algunos argumentan que esta podría ser una estrategia para hacer desaparecer el dinero sin dejar rastro.
Un usuario, @pvt.eth, señaló que el anuncio del hacker llegó el 1 de abril, coincidiendo con el Día de los Inocentes (April Fool’s Day) en muchos países. «Justo a tiempo para el Día de los Inocentes», comentó con ironía.
Otros incluso especularon que el hacker y el supuesto estafador podrían ser la misma persona.
«Meh, esto parece más bien un intento del hacker para desviar la atención y evitar una posible investigación», opinó otro usuario.
