zkSync (ZK) hack’lendi, 5 milyon dolar buharlaştı
Katman-2 Ethereum ölçeklendirme protokolü zkSync 15 Nisan Salı günü airdrop kampanyası esnasında hücuma uğradı. Saldırganlar protokole ilişkin yönetici cüzdanını hack’leyerek 5 milyon dolar kıymetinde ZK token üretti ve zimmetine geçirdi.
ZKsync security team has identified a compromised admin account that took control of ~$5M worth of ZK tokens — the remaining unclaimed tokens from the ZKsync airdrop. Necessary security measures are being taken.
All user funds are safe and have never been at risk. The ZKsync…
— ZKsync (∎, ∆) (@zksync) April 15, 2025
Saldırı, zkSync’in airdrop süreçlerini yöneten akıllı kontratlardaki “sweepUnclaimed()” isimli bir fonksiyonun istismarı yoluyla gerçekleşti. Bu fonksiyon olağanda talep edilmeyen ZK token’larını geri çekmek için tasarlanmıştı. Lakin saldırgan üç farklı airdrop kontratından toplamda 111 milyon ZK token basarak bu fonksiyonu suistimal etti. Bu ölçü, toplam token arzının yaklaşık yüzde 0,45’ine denk geliyor.
Olayın akabinde zkSync geliştirici takımı, güvenlik ortağı SEAL ile birlikte bir kurtarma operasyonu başlattı. Gruptan yapılan açıklamada, taarruzun sırf yönetici cüzdan ile hudutlu olduğu ve kullanıcı fonlarının direkt etkilenmediği belirtildi. Ayrıyeten, “sweepUnclaimed()” fonksiyonunun devre dışı bırakıldığı ve sistemin diğer bir açık barındırmadığı vurgulandı.
Update: the investigation has revealed that the account that was the admin of the three airdrop distribution contracts had been compromised. The compromised account address is 0x842822c797049269A3c29464221995C56da5587D.
The attacker called the sweepUnclaimed() function that…
— ZKsync (∎, ∆) (@zksync) April 15, 2025
ZK fiyatı dakikalar içinde çakıldı
ZKsync, sıfır bilgi toplamaları ismi verilen bir teknoloji kullanarak ana katman süreçlerini toplu olarak işleyen bir Ethereum katman-2 protokolü. ZK token ise protokolün yönetişim token’ı. Akının akabinde ZK token fiyatında büyük bir volatilite yaşandı. CoinMarketCap bilgilerine nazaran, ZK token olay sonrası dakikalar içinde yüzde 18 paha kaybederek 0,040 dolara kadar geriledi. Lakin daha sonra toparlanarak 0,047 dolar düzeylerine ulaştı. ZK token son 24 saatte yüzde 4’ün üzerinde bir düşüş yaşadı ve 0,046 dolar düzeyine ulaştı.
Bu olay, sadece zkSync özelinde değil, genel olarak Katman-2 tahlillerinde güvenliğin ne kadar kritik olduğunu bir defa daha gösterdi. Yönetici düzeyindeki erişimlerin nasıl yapılandırıldığı, airdrop sistemlerinin nasıl denetlendiği ve akıllı mukavele fonksiyonlarının berbata kullanım ihtimalleri bölüm genelinde yine bedellendiriliyor.
21 Şubat 2025’te ise kripto para borsası Bybit, şimdiye kadarki en büyük kripto hücumlarından birine maruz kalmıştı. Kuzey Kore ilişkili Lazarus Kümesi hacker’ları, Bybit’in Ethereum soğuk cüzdan altyapısındaki güvenlik açıklarını istismar ederek yaklaşık 401.000 ETH (yaklaşık 1,5 milyar dolar) çaldı. Bybit yaptığı açıklamada, kullanıcı fonlarının inançta olduğunu ve kayıpların şirket rezervlerinden karşılanacağını belirtmişti.
