Brechas de Seguridad en ZKsync y KiloEx
Esta semana, dos plataformas de finanzas descentralizadas, ZKsync y KiloEx, enfrentaron significativas brechas de seguridad, resultando en pérdidas superiores a 12 millones de dólares. ZKsync informó el 15 de abril sobre la explotación de una cuenta de administrador comprometida, que permitió acuñar tokens de airdrop no reclamados por un valor de 5 millones de dólares. Por su parte, KiloEx anunció que un ataque previo había resultado en el robo de 7.5 millones de dólares, utilizando una vulnerabilidad relacionada con un oráculo de precios. Ambas empresas subrayaron que los fondos de los usuarios permanecen seguros y que están trabajando en esfuerzos de recuperación coordinados.
Detalles del Ataque y Respuesta de KiloEx
Después del devastador exploit en KiloEx, la plataforma lanzó una convocatoria pública al hacker responsable, ofreciendo una recompensa del 10% como un gesto de buena voluntad y una última oportunidad para devolver los fondos robados. En un intento por lidiar con la presión de usuarios y socios, KiloEx otorgó un ultimátum al perpetrador: devolver el 90% de lo robado o enfrentar acciones legales y exposición pública.
El ataque a KiloEx se produjo el 14 de abril, cuando investigadores de ciberseguridad, incluidos expertos de la industria como PeckShield, identificaron que el DEX había sido comprometido a través de una vulnerabilidad en un oráculo de precios. En términos simples, el contrato inteligente que determina el valor de los activos digitales fue manipulado, permitiendo al atacante falsificar datos de precios y drenar una cantidad significativa de fondos. El hacker extrajo alrededor de 3.3 millones de dólares de la red Base, 3.1 millones de opBNB y 1 millón de la Binance Smart Chain, alcanzando un total de aproximadamente 7.5 millones de dólares en activos digitales.
Ante la emergencia, KiloEx actuó con rapidez, suspendiendo operaciones y conteniendo la brecha. Confirmaron que el exploit fue aislado y ya no representaba una amenaza activa. Sin embargo, el daño financiero y reputacional ya era considerable. En un comunicado emitido al día siguiente, el 15 de abril, KiloEx anunció una recompensa de sombrero blanco. Ofrecieron al hacker 750,000 dólares—el 10% de los fondos robados—como incentivo para devolver el 90% restante. KiloEx presentó esta oferta como una oportunidad para que el atacante “hiciera lo correcto” y ayudara a la comunidad a recuperarse del incidente.
Monitoreo y Consecuencias del Ataque
Además, KiloEx publicó las direcciones de las billeteras relacionadas con el atacante, declarando que estas están bajo vigilancia activa por parte del intercambio, las fuerzas del orden y socios de ciberseguridad. Aseguraron estar preparados para congelar los fondos si se detectaba algún movimiento, y continuarán monitoreándolos a través de las redes. El mensaje de KiloEx para el hacker fue directo y firme: actuar ahora o enfrentar las consecuencias. Si el atacante rechaza el trato de sombrero blanco, KiloEx se comprometió a escalar el asunto a las autoridades legales.
El hacker tiene la opción de contactarse a través del correo electrónico oficial de KiloEx o mediante un mensaje onchain, lo que garantizaría cierto grado de anonimato—al menos temporalmente—si decide negociar. Este enfoque de KiloEx no es sin precedentes; la oferta de recompensas de sombrero blanco se ha vuelto una estrategia adoptada por varios proyectos DeFi tras incidentes de seguridad. En algunos casos, estas ofertas han resultado en la devolución de activos robados.
Impacto de ZKsync y Consideraciones de Seguridad
Por su parte, en un golpe adicional para el sector DeFi, el protocolo ZKsync de Layer-2 de Ethereum confirmó el 15 de abril que un hacker había aprovechado una cuenta de administrador comprometida para acuñar 5 millones de dólares en tokens de airdrop no reclamados. Aunque no se afectaron los fondos de los usuarios, la brecha ha tenido serias repercusiones sobre la anticipada campaña de distribución de tokens de ZKsync y ha llevado a acciones urgentes de recuperación.
El ataque fue revelado inicialmente en un
comunicado de la cuenta oficial de X de ZKsync
, donde el equipo reveló que un actor no autorizado había accedido a una cuenta administrativa con control privilegiado. Utilizando una función llamada sweepUnclaimed, el atacante acuñó 111 millones de tokens ZK no reclamados, aumentando la oferta total de tokens en un 0.45%.
ZKsync ha comenzado a rastrear las direcciones de billetera del atacante, colaborando con diversas agencias de las fuerzas del orden y equipos de ciberseguridad. Este incidente representa un grave retroceso para la campaña de airdrop de ZKsync, que planeaba distribuir el 17.5% de su oferta total de tokens. A medida que los airdrops de alto valor, los puentes de tokens y las plataformas de staking se vuelven frecuentes, las superficies de ataque se han ampliado significativamente, dejando incluso a los proyectos mejor financiados en una posición vulnerable.
