El hacker que robó 2930 ETH del protocolo ZK Lend afirma haber perdido todos los fondos a manos de otro malhechor. En lugar de enviar los ETH a Tornado Cash, el hacker afirma que los fondos se enviaron a un sitio web de phishing.
La dirección del hacker que robó 2930 ETH de ZKLend supuestamente fue hackeada. El propietario de la billetera comentó a través de Etherscan que los fondos se perdieron en un sitio de phishing en lugar de Tornado Cash. El ETH robado estaba valorado en aproximadamente $5.5 millones al 1 de abril.
ZKLend ha estado negociando con el hacker para recuperar la mayor parte de los fondos a cambio de una recompensa del 10%. Las direcciones eran conocidas y el proyecto se comunicó activamente con el explotador hasta el último momento. Finalmente, el hacker afirmó que los fondos ya no se encontraban en la dirección original y que habían sido robados por otro atacante.
El hacker se comunicó de la misma manera que el equipo de ZKLend: emitiendo una transacción con cero ETH y un mensaje adjunto.
El equipo de ZKLend ha declarado que no hay pruebas concluyentes de que el hacker haya perdido el control de todos los fondos. El equipo observó que los fondos se enviaron a una dirección vinculada a un sitio falso que lleva cinco años activo. No hay pruebas concluyentes que vinculen al explotador del protocolo con los propietarios de las billeteras del sitio falso, pero los investigadores en cadena han encontrado indicios de que la misma entidad podría ser responsable de ambos ataques.
El protocolo de préstamos no ha renunciado a tracel ETH perdido y ha incluido la nueva dirección de explotación como objetivo. El protocolo ZKLend coopera con plataformas de intercambio centralizadas, aunque también existen métodos descentralizados para ocultar los fondos.
Los investigadores sospechan que el pirata informático fingió la pérdida de ETH
Las repentinas afirmaciones de otro exploit, seguidas de una mezcla inmediata, también sugieren que el hacker podría estar conectado al sitio de phishing. En cualquier caso, ahora es prácticamente imposible traclas monedas ETH, y el hacker podría quedarse con los tokens tras la mezcla. Los investigadores on-chain creen que la transacción de ETH es una broma del Día de los Inocentes, ya que el hacker no mencionó el sitio de phishing exacto y la transacción utilizó otra ruta para llegar a Tornado Cash.
Según los investigadores en cadena, los fondos robados utilizaron una dirección personalizada Ethereum y no se enviaron directamente a uno de los sitios falsos de Tornado Cash .
Tornado Cash DAO:
zklend再次被盗极有可能是黑客自导自演,被盗资金因手填safe-relayer.et h中继器取款,并不是因为钓鱼,黑客为同一人https://t.co/FEd22QY9Ph– 法希姆 (@Faith_Blo) 1 de abril de 2025
El propio Tornado Cash ha advertido sobre posibles sitios falsos, ampliamente conocidos y muy improbables de ser confundidos por un hacker Ethereum . Los investigadores en cadena observaron que el sitio en cuestión probablemente eracash, en lugar decash.
Antes de transferir la mayor parte del ETH robado, el hacker también movió pequeñas cantidades e intentó realizar operaciones de intercambio sin intermediario. El equipo de ZKLend detectó la actividad y continuó notificando a los exchanges y protocolos centralizados sobre todas las nuevas direcciones relacionadas con el ataque.
¿Se pueden traclos fondos de ZKLend?
Tras la mezcla, es posible que los 2930 ETH no se tractan fácilmente. Sin embargo, los investigadores en cadena están estableciendo un vínculo tentativo entre el hacker y el sitio falso de TornadoCash .
Un investigador en cadena observó que la transacción del hacker se realizó a través de una dirección vanidosa Ethereum safe-relayer.eth . Esa misma dirección estuvo codificada en uno de los sitios falsos de Tornado Cash . Los investigadores monitorearon las versiones del código del sitio y observaron que safe-relayer.eth apareció durante un período en 2024.
A partir del 31 de marzo, la dirección safe-relayer.eth fue eliminada del sitio. Esto significa que todas las demás transacciones fraudulentas se realizan a través de otra billetera intermediaria.
Sin embargo, el hacker siguió usando safe-relayer.eth, incluso sin que el sitio se lo pidiera. Esto llevó a los investigadores a creer que el hacker quería ocultar su tracy probablemente controlaba safe-relayer.eth y al autor del sitio falso.
Al final, en lugar de ocultar los fondos, el exploit ZKLend puso mayor escrutinio sobre el sitiocash y sus posibles propietarios. El intento de ocultar el tracdel hacker podría haber expuesto una red más amplia de actores maliciosos.
