Katman-2 Ethereum ölçekleme tahlili olan zkSync, 15 Nisan 2025’te büyük bir güvenlik ihlaliyle sarsıldı. Protokolün airdrop sürecini yöneten bir yönetici cüzdanı, makûs niyetli bireylerce ele geçirildi. Saldırgan, “sweepUnclaimed()” isimli akıllı mukavele fonksiyonunu istismar ederek toplam 111 milyon adet ZK token bastı ve yaklaşık 5 milyon dolar kıymetinde varlığı zimmetine geçirdi. Bu fiyat, toplam ZK arzının yaklaşık yüzde 0,45’ine denk geliyor.
Olay sonrası zkSync takımı, güvenlik ortağı SEAL ile birlikte süratli bir müdahalede bulundu.Olayın akabinde zkSync geliştirici grubu, güvenlik ortağı SEAL ile birlikte bir kurtarma operasyonu başlattı. Gruptan yapılan açıklamada, taarruzun sadece yönetici cüzdan ile sonlu olduğu ve kullanıcı fonlarının direkt etkilenmediği belirtildi. Airdrop’a ilişkin mukavelelerin kontrolü yapıldı ve “sweepUnclaimed()” işlevi kalıcı olarak devre dışı bırakıldı.
Update: the investigation has revealed that the account that was the admin of the three airdrop distribution contracts had been compromised. The compromised account address is 0x842822c797049269A3c29464221995C56da5587D.
The attacker called the sweepUnclaimed() function that…
— ZKsync (∎, ∆) (@zksync) April 15, 2025
Saldırının akabinde ZK token fiyatı kısa müddette yüzde 18 düşerek 0,040 dolara kadar geriledi, fakat gün içinde hafif toparlanarak 0,046–0,047 dolar aralığında süreç gördü. Yaşanan bu olay, Katman-2 protokollerinde yönetici erişiminin güvenliğini ve airdrop sistemlerinin şeffaflığını bir defa daha gündeme taşıdı.
Ancak sürecin sonunda beklenmedik bir gelişme yaşandı. zkSync grubunun hacker’a sunduğu “bounty” (ödül) teklifini kabul etmesi üzerine saldırgan, çaldığı token’ların yüzde 90’ını iade etti. Bu geri ödeme, 23 Nisan’da üç farklı işlem halinde ZKsync Güvenlik Kurulu cüzdanına yapıldı. Hacker, kalan kısmı “beyaz şapkalı” etiketiyle ödül olarak aldı.
Geri alınan varlıkların toplam pahası, olaydan bu yana ETH ve ZK fiyatlarının artması sayesinde, akın anındaki kıymetten bile daha yüksek bir düzeye ulaştı. zkSync, olayla ilgili son teknik raporun hazırlanmakta olduğunu ve toplulukla ayrıntılı formda paylaşılacağını duyurdu. Toplulukta genel kanı, zkSync grubunun şeffaf irtibatı ve esnek kriz idaresi sayesinde daha büyük bir inanç krizinin önüne geçildiği istikametinde. Fonların geri alınması ve hacker ile uzlaşı yolunun tercih edilmesi, benzeri durumlar için örnek bir “etik hack” senaryosu oluşturmuş durumda. Fakat bu olay, merkeziyet seviyesi yüksek olan yapıların, açık kaynaklı finans sistemleri içinde nasıl ek riskler barındırabildiğini de bir defa daha ortaya koydu.
