ZKsync, 5 milyon dolar değerindeki çalıntı token’ı kurtardı

Katman-2 Ethereum ölçekleme tahlili olan zkSync, 15 Nisan 2025’te büyük bir güvenlik ihlaliyle sarsıldı. Protokolün airdrop sürecini yöneten bir yönetici cüzdanı, berbat niyetli bireylerce ele geçirildi. Saldırgan, “sweepUnclaimed()” isimli akıllı mukavele fonksiyonunu istismar ederek toplam 111 milyon adet ZK token bastı ve yaklaşık 5 milyon dolar pahasında varlığı zimmetine geçirdi. Bu fiyat, toplam ZK arzının yaklaşık yüzde 0,45’ine denk geliyor.

Olay sonrası zkSync grubu, güvenlik ortağı SEAL ile birlikte süratli bir müdahalede bulundu.Olayın akabinde zkSync geliştirici takımı, güvenlik ortağı SEAL ile birlikte bir kurtarma operasyonu başlattı. Takımdan yapılan açıklamada, taarruzun sadece yönetici cüzdan ile hudutlu olduğu ve kullanıcı fonlarının direkt etkilenmediği belirtildi. Airdrop’a ilişkin mukavelelerin kontrolü yapıldı ve “sweepUnclaimed()” işlevi kalıcı olarak devre dışı bırakıldı.

Saldırının akabinde ZK token fiyatı kısa müddette yüzde 18 düşerek 0,040 dolara kadar geriledi, lakin gün içinde hafif toparlanarak 0,046–0,047 dolar aralığında süreç gördü. Yaşanan bu olay, Katman-2 protokollerinde yönetici erişiminin güvenliğini ve airdrop düzeneklerinin şeffaflığını bir defa daha gündeme taşıdı.

Ancak sürecin sonunda beklenmedik bir gelişme yaşandı. zkSync grubunun hacker’a sunduğu “bounty” (ödül) teklifini kabul etmesi üzerine saldırgan, çaldığı token’ların yüzde 90’ını iade etti. Bu geri ödeme, 23 Nisan’da üç başka işlem halinde ZKsync Güvenlik Kurulu cüzdanına yapıldı. Hacker, kalan kısmı “beyaz şapkalı” etiketiyle ödül olarak aldı.

Geri alınan varlıkların toplam bedeli, olaydan bu yana ETH ve ZK fiyatlarının artması sayesinde, akın anındaki pahadan bile daha yüksek bir düzeye ulaştı. zkSync, olayla ilgili en son teknik raporun hazırlanmakta olduğunu ve toplulukla ayrıntılı halde paylaşılacağını duyurdu. Toplulukta genel kanı, zkSync takımının şeffaf irtibatı ve esnek kriz idaresi sayesinde daha büyük bir itimat krizinin önüne geçildiği tarafında. Fonların geri alınması ve hacker ile uzlaşı yolunun tercih edilmesi, misal durumlar için örnek bir “etik hack” senaryosu oluşturmuş durumda. Fakat bu olay, merkeziyet seviyesi yüksek olan yapıların, açık kaynaklı finans sistemleri içinde nasıl ek riskler barındırabildiğini de bir kere daha ortaya koydu.