Resumen
ZKsync y Matter Labs fueron víctimas de un ataque de phishing el 13 de mayo, comprometiendo sus cuentas de X para difundir alertas falsas.
Los atacantes publicaron noticias falsas sobre una investigación de la SEC y posibles sanciones del Departamento del Tesoro, seguidas de un airdrop falso.
ZKsync ya había sufrido un ataque el 15 de abril, cuando un hacker explotó una vulnerabilidad en el contrato de distribución del airdrop.
ZKsync y Matter Labs experimentaron otra violación de seguridad después de que sus cuentas oficiales de X fueron hackeadas el 13 de mayo. Los atacantes tomaron el control de ambos perfiles para difundir falsas alertas regulatorias y enlaces de phishing. El ataque combinó tácticas de manipulación del mercado con intentos de fraude directo, impactando inmediatamente el precio de su token nativo, ZK.
Los mensajes publicados afirmaban que la plataforma estaba bajo investigación por la SEC y que el Departamento del Tesoro estaba preparando sanciones. Aunque la noticia era falsa, causó una caída de casi el 5% en el valor del token, que había experimentado un fuerte aumento del 38.5% en los días anteriores. Poco después, los hackers difundieron un airdrop falso con enlaces maliciosos destinados a vaciar las billeteras de usuarios desprevenidos.
Cómo se Llevó a Cabo el Ataque
Según Matter Labs, el acceso no autorizado probablemente ocurrió a través de cuentas delegadas, utilizadas para publicar en nombre de las cuentas principales pero con permisos limitados. Después de detectar la brecha, la empresa desconectó esas cuentas y eliminó las publicaciones fraudulentas. Actualmente se está llevando a cabo una investigación interna para determinar cómo ocurrió el incidente.
La Reputación de ZKsync Está Pendiendo de un Hilo
Este incidente agrava la situación para ZKsync, que ya había sufrido otro ataque menos de un mes antes. El 15 de abril, un hacker explotó una falla en el contrato de distribución del airdrop y logró acuñar 111 millones de tokens no reclamados, con un valor de aproximadamente 5 millones de dólares. En esa ocasión, se llegó a un acuerdo informal para que el atacante devolviera el 90% de los activos, quedándose con el resto como recompensa.
La serie de incidentes en un período tan corto genera dudas sobre los protocolos de seguridad de ZKsync. Aunque en ambos casos los fondos de los usuarios no fueron comprometidos directamente, las consecuencias para la reputación y la confianza son evidentes. Solo en el primer trimestre de 2025, las pérdidas por hacks en el ecosistema cripto se acercaron a los 2 mil millones de dólares, casi igualando las pérdidas totales de 2024.
