ZKsync, 5 milyon dolar bedelindeki çalıntı token’ı kurtardı
Katman-2 Ethereum ölçekleme tahlili olan zkSync, 15 Nisan 2025’te büyük bir güvenlik ihlaliyle sarsıldı. Protokolün airdrop sürecini yöneten bir yönetici cüzdanı, makus niyetli şahıslarca ele geçirildi. Saldırgan, “sweepUnclaimed()” isimli akıllı kontrat fonksiyonunu istismar ederek toplam 111 milyon adet ZK token bastı ve yaklaşık 5 milyon dolar bedelinde varlığı zimmetine geçirdi. Bu fiyat, toplam ZK arzının yaklaşık yüzde 0,45’ine denk geliyor.
Olay sonrası zkSync takımı, güvenlik ortağı SEAL ile birlikte süratli bir müdahalede bulundu.Olayın akabinde zkSync geliştirici grubu, güvenlik ortağı SEAL ile birlikte bir kurtarma operasyonu başlattı. Gruptan yapılan açıklamada, akının sırf yönetici cüzdan ile sonlu olduğu ve kullanıcı fonlarının direkt etkilenmediği belirtildi. Airdrop’a ilişkin mukavelelerin kontrolü yapıldı ve “sweepUnclaimed()” işlevi kalıcı olarak devre dışı bırakıldı.
Update: the investigation has revealed that the account that was the admin of the three airdrop distribution contracts had been compromised. The compromised account address is 0x842822c797049269A3c29464221995C56da5587D.
The attacker called the sweepUnclaimed() function that…
— ZKsync (∎, ∆) (@zksync) April 15, 2025
Saldırının akabinde ZK token fiyatı kısa müddette yüzde 18 düşerek 0,040 dolara kadar geriledi, lakin gün içinde hafif toparlanarak 0,046–0,047 dolar aralığında süreç gördü. Yaşanan bu olay, Katman-2 protokollerinde yönetici erişiminin güvenliğini ve airdrop düzeneklerinin şeffaflığını bir defa daha gündeme taşıdı.
Ancak sürecin sonunda beklenmedik bir gelişme yaşandı. zkSync takımının hacker’a sunduğu “bounty” (ödül) teklifini kabul etmesi üzerine saldırgan, çaldığı token’ların yüzde 90’ını iade etti. Bu geri ödeme, 23 Nisan’da üç başka işlem halinde ZKsync Güvenlik Kurulu cüzdanına yapıldı. Hacker, kalan kısmı “beyaz şapkalı” etiketiyle ödül olarak aldı.
Geri alınan varlıkların toplam bedeli, olaydan bu yana ETH ve ZK fiyatlarının artması sayesinde, taarruz anındaki bedelden bile daha yüksek bir düzeye ulaştı. zkSync, olayla ilgili en son teknik raporun hazırlanmakta olduğunu ve toplulukla ayrıntılı halde paylaşılacağını duyurdu. Toplulukta genel kanı, zkSync takımının şeffaf bağlantısı ve esnek kriz idaresi sayesinde daha büyük bir itimat krizinin önüne geçildiği tarafında. Fonların geri alınması ve hacker ile uzlaşı yolunun tercih edilmesi, emsal durumlar için örnek bir “etik hack” senaryosu oluşturmuş durumda. Lakin bu olay, merkeziyet seviyesi yüksek olan yapıların, açık kaynaklı finans sistemleri içinde nasıl ek riskler barındırabildiğini de bir defa daha ortaya koydu.
