A solução de escalonamento de camada 2 do Ethereum, zkSync, foi abalada por uma grande violação de segurança em 15 de abril de 2025. Uma carteira de administrador que gerenciava o processo de airdrop do protocolo foi comprometida por indivíduos mal-intencionados. O atacante explorou a função do contrato inteligente chamada “sweepUnclaimed()” para cunhar um total de 111 milhões de tokens ZK e apropriou-se de ativos no valor de cerca de 5 milhões de dólares. Este montante corresponde a aproximadamente 0,45% da oferta total de ZK.
Após o incidente, a equipe do zkSync agiu rapidamente em conjunto com seu parceiro de segurança SEAL. Após o incidente, a equipe de desenvolvedores do zkSync iniciou uma operação de recuperação com o parceiro de segurança SEAL. Em um comunicado da equipe, foi mencionado que o ataque estava limitado apenas à carteira administrativa e que os fundos dos usuários não foram diretamente afetados. As auditorias dos contratos relacionados ao airdrop foram realizadas e a função “sweepUnclaimed()” foi desativada permanentemente.
Atualização: a investigação revelou que a conta que era a administradora dos três contratos de distribuição de airdrop foi comprometida. O endereço da conta comprometida é 0x842822c797049269A3c29464221995C56da5587D.
O atacante chamou a função sweepUnclaimed() que…
— ZKsync (∎, ∆) (@zksync) 15 de abril de 2025
Após o ataque, o preço do token ZK caiu rapidamente 18%, chegando a 0,040 dólares, mas durante o dia recuperou ligeiramente, sendo negociado na faixa de 0,046–0,047 dólares. Este evento trouxe novamente à tona a segurança do acesso administrativo em protocolos de Camada-2 e a transparência dos mecanismos de airdrop.
No entanto, no final do processo, ocorreu um desenvolvimento inesperado. Após o hacker aceitar a proposta de “bounty” ( ödül) apresentada pela equipe zkSync, o agressor devolveu 90% dos tokens que havia roubado. Este reembolso foi feito em três transações separadas no dia 23 de abril para a carteira do Conselho de Segurança ZKsync. O hacker recebeu a parte restante como recompensa sob a etiqueta de “chapéu branco”.
O valor total dos ativos recuperados atingiu um nível ainda maior do que era no momento do ataque, graças ao aumento dos preços de ETH e ZK desde o incidente. O zkSync anunciou que um relatório técnico final sobre o incidente está sendo preparado e será compartilhado com a comunidade em detalhes. O consenso geral na comunidade é que a comunicação transparente da equipe zkSync e a gestão flexível de crises evitaram uma crise maior de confiança. A recuperação de fundos e a preferência pela reconciliação com o hacker criaram um cenário exemplar de “hacking ético” para situações semelhantes. No entanto, este incidente revelou mais uma vez como estruturas altamente centralizadas podem abrigar riscos adicionais dentro de sistemas financeiros de código aberto.
Este artigo não contém aconselhamento ou recomendação de investimento. Cada movimento de investimento e negociação envolve risco e os leitores devem realizar sua própria pesquisa ao tomar decisões.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
