ZKsync, 5 Milyon Dolar Değerindeki Çalıntı Token’ı Kurtardı

Katman-2 Ethereum ölçekleme çözümü olan zkSync, 15 Nisan 2025 tarihinde büyük bir güvenlik ihlali yaşadı. Protokolün airdrop sürecinden sorumlu olan bir yönetici cüzdanı, kötü niyetli kişiler tarafından ele geçirildi. Saldırgan, “sweepUnclaimed()” adlı akıllı sözleşme fonksiyonunu kötüye kullanarak toplamda 111 milyon ZK token bastı ve yaklaşık 5 milyon dolar değerinde varlık çaldı. Bu miktar, toplam ZK arzının yaklaşık %0,45’ine karşılık geliyor.

Olay sonrası zkSync ekibi, güvenlik iş ortağı SEAL ile birlikte hızlı bir müdahale gerçekleştirdi. Geliştirici ekip, saldırının yalnızca yönetici cüzdanında gerçekleştiğini ve kullanıcı fonlarının etkilenmediğini belirtti. Airdrop’a ait sözleşmeler denetlendi ve “sweepUnclaimed()” fonksiyonu kalıcı olarak devre dışı bırakıldı.

Saldırının ardından ZK token fiyatı hızlıca %18 düşerek 0,040 dolara kadar geriledi; ancak gün içinde hafif bir toparlanma ile 0,046–0,047 dolar aralığında işlem gördü. Bu durum, Katman-2 protokollerinin yönetim erişiminin güvenliğini ve airdrop mekanizmalarının şeffaflığını tekrar gündeme getirdi.

Bununla birlikte, sürecin sonunda beklenmeyen bir gelişme yaşandı. zkSync ekibinin hacker’a sunduğu “bounty” (ödül) teklifini kabul etmesi üzerine saldırgan, çaldığı token’ların %90’ını iade etti. Bu geri ödeme, 23 Nisan’da üç ayrı işlem şeklinde ZKsync Güvenlik Konseyi cüzdanına gerçekleştirildi. Hacker, geri kalan kısmı “beyaz şapkalı” etiketiyle ödül olarak aldı.

Geri alınan varlıkların toplam değeri, olaydan bu yana ETH ve ZK fiyatlarının yükselmesi sayesinde, saldırı anındaki değerden daha yüksek bir seviyeye ulaştı. zkSync, olayla ilgili kesin teknik raporun hazırlandığını ve detayların toplulukla paylaşılacağını duyurdu. Topluluk, zkSync ekibinin şeffaf iletişimi ve etkili kriz yönetiminin daha büyük bir güven krizini önlediği görüşünde birleşiyor. Fonların geri alınması ve hacker ile uzlaşma yollarının tercih edilmesi, benzer durumlar için örnek bir “etik hack” senaryosu oluşturuyor. Ancak bu olay, merkeziyet düzeyi yüksek yapıların açık kaynaklı finans sistemleri içinde nasıl ek riskler barındırabileceğini bir kez daha gözler önüne serdi.