ZKsync, 5 milyon dolar değerindeki çalıntı token’ı kurtardı
Katman-2 Ethereum ölçekleme tahlili olan zkSync, 15 Nisan 2025’te büyük bir güvenlik ihlaliyle sarsıldı. Protokolün airdrop sürecini yöneten bir yönetici cüzdanı, makus niyetli şahıslarca ele geçirildi. Saldırgan, “sweepUnclaimed()” isimli akıllı kontrat fonksiyonunu istismar ederek toplam 111 milyon adet ZK token bastı ve yaklaşık 5 milyon dolar kıymetinde varlığı zimmetine geçirdi. Bu fiyat, toplam ZK arzının yaklaşık yüzde 0,45’ine denk geliyor.
Olay sonrası zkSync grubu, güvenlik ortağı SEAL ile birlikte süratli bir müdahalede bulundu.Olayın akabinde zkSync geliştirici grubu, güvenlik ortağı SEAL ile birlikte bir kurtarma operasyonu başlattı. Takımdan yapılan açıklamada, akının sadece yönetici cüzdan ile hudutlu olduğu ve kullanıcı fonlarının direkt etkilenmediği belirtildi. Airdrop’a ilişkin mukavelelerin kontrolü yapıldı ve “sweepUnclaimed()” işlevi kalıcı olarak devre dışı bırakıldı.
Update: the investigation has revealed that the account that was the admin of the three airdrop distribution contracts had been compromised. The compromised account address is 0x842822c797049269A3c29464221995C56da5587D.
The attacker called the sweepUnclaimed() function that…
— ZKsync (∎, ∆) (@zksync) April 15, 2025
Saldırının akabinde ZK token fiyatı kısa müddette yüzde 18 düşerek 0,040 dolara kadar geriledi, lakin gün içinde hafif toparlanarak 0,046–0,047 dolar aralığında süreç gördü. Yaşanan bu olay, Katman-2 protokollerinde yönetici erişiminin güvenliğini ve airdrop sistemlerinin şeffaflığını bir defa daha gündeme taşıdı.
Ancak sürecin sonunda beklenmedik bir gelişme yaşandı. zkSync grubunun hacker’a sunduğu “bounty” (ödül) teklifini kabul etmesi üzerine saldırgan, çaldığı token’ların yüzde 90’ını iade etti. Bu geri ödeme, 23 Nisan’da üç farklı işlem halinde ZKsync Güvenlik Kurulu cüzdanına yapıldı. Hacker, kalan kısmı “beyaz şapkalı” etiketiyle ödül olarak aldı.
Geri alınan varlıkların toplam bedeli, olaydan bu yana ETH ve ZK fiyatlarının artması sayesinde, atak anındaki kıymetten bile daha yüksek bir düzeye ulaştı. zkSync, olayla ilgili sonuncu teknik raporun hazırlanmakta olduğunu ve toplulukla ayrıntılı biçimde paylaşılacağını duyurdu. Toplulukta genel kanı, zkSync takımının şeffaf bağlantısı ve esnek kriz idaresi sayesinde daha büyük bir inanç krizinin önüne geçildiği tarafında. Fonların geri alınması ve hacker ile uzlaşı yolunun tercih edilmesi, benzeri durumlar için örnek bir “etik hack” senaryosu oluşturmuş durumda. Lakin bu olay, merkeziyet seviyesi yüksek olan yapıların, açık kaynaklı finans sistemleri içinde nasıl ek riskler barındırabildiğini de bir kere daha ortaya koydu.
