تعرضت zkSync، وهي حل لتوسيع نطاق إيثيريوم من الطبقة الثانية، لخرق أمني كبير في 15 أبريل 2025. تم الاستيلاء على محفظة إدارية تدير عملية توزيع العملات المجانية من قبل جهات خبيثة. استغل المهاجم وظيفة العقد الذكي المسماة “sweepUnclaimed()” ليقوم بزيادة إجمالي 111 مليون توكن ZK وسرقة أصول بقيمة حوالي 5 ملايين دولار. هذه المبلغ يعادل حوالي 0.45% من إجمالي عرض ZK.
بعد الحادث، قامت فريق zkSync بالتدخل السريع بالتعاون مع شريك الأمان SEAL. بعد الحادث، بدأ فريق مطوري zkSync عملية إنقاذ بالتعاون مع شريك الأمان SEAL. في بيان من الفريق، تم الإشارة إلى أن الهجوم كان محدودًا فقط بمحفظة الإدارة وأن أموال المستخدمين لم تتأثر بشكل مباشر. تم تدقيق العقود الخاصة بالـ Airdrop وتم تعطيل وظيفة "sweepUnclaimed()" بشكل دائم.
تحديث: التحقيق كشف أن الحساب الذي كان مسؤولاً عن عقود توزيع الثلاثة إيردروب قد تم اختراقه. عنوان الحساب المخترق هو 0x842822c797049269A3c29464221995C56da5587D.
المهامل استاقط الوظيفة sweepUnclaimed() التي...
— ZKsync (∎، ∆) (@zksync) 15 أبريل 2025
بعد الهجوم، انخفض سعر توكن ZK بنسبة 18٪ في فترة قصيرة ليصل إلى 0.040 دولار، لكنه شهد انتعاشًا طفيفًا خلال اليوم ليتداول في نطاق 0.046–0.047 دولار. أثار هذا الحدث من جديد مسألة أمان الوصول الإداري في بروتوكولات الطبقة الثانية وشفافية آليات الإيداع.
ومع ذلك، حدث تطور غير متوقع في نهاية العملية. بعد قبول عرض "المكافأة" (الجائزة) الذي قدمه فريق zkSync للهاكر، أعاد المهاجم 90% من الرموز المميزة المسروقة. تم إجراء هذا السداد في 23 أبريل على شكل ثلاث عمليات إلى محفظة مجلس أمان ZKsync. حصل الهاكر على المتبقي كجائزة تحت مسمى "القبعة البيضاء".
لقد وصل إجمالي قيمة الأصول المستردة، بفضل ارتفاع أسعار ETH و ZK منذ الحادث، إلى مستوى أعلى حتى من القيمة في لحظة الهجوم. أعلنت zkSync أنه يجري إعداد التقرير الفني النهائي المتعلق بالحادث وسيتم مشاركته بشكل مفصل مع المجتمع. الرأي العام في المجتمع هو أن التواصل الشفاف لفريق zkSync وإدارة الأزمات المرنة قد حالا دون حدوث أزمة ثقة أكبر. إن استرداد الأموال وفضل خيار التسوية مع القراصنة قد خلق سيناريو “اختراق أخلاقي” نموذجي لحالات مشابهة. ومع ذلك، أظهر هذا الحدث مرة أخرى كيف يمكن للهياكل ذات المستوى العالي من المركزية أن تحمل مخاطر إضافية ضمن أنظمة المالية مفتوحة المصدر.
هذه المقالة لا تحتوي على نصائح أو اقتراحات استثمارية. كل استثمار وحركة تداول تنطوي على مخاطر ويجب على القراء إجراء أبحاثهم الخاصة عند اتخاذ القرارات.
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
ZKsync استعاد توكن مسروق بقيمة 5 ملايين دولار
تعرضت zkSync، وهي حل لتوسيع نطاق إيثيريوم من الطبقة الثانية، لخرق أمني كبير في 15 أبريل 2025. تم الاستيلاء على محفظة إدارية تدير عملية توزيع العملات المجانية من قبل جهات خبيثة. استغل المهاجم وظيفة العقد الذكي المسماة “sweepUnclaimed()” ليقوم بزيادة إجمالي 111 مليون توكن ZK وسرقة أصول بقيمة حوالي 5 ملايين دولار. هذه المبلغ يعادل حوالي 0.45% من إجمالي عرض ZK.
بعد الحادث، قامت فريق zkSync بالتدخل السريع بالتعاون مع شريك الأمان SEAL. بعد الحادث، بدأ فريق مطوري zkSync عملية إنقاذ بالتعاون مع شريك الأمان SEAL. في بيان من الفريق، تم الإشارة إلى أن الهجوم كان محدودًا فقط بمحفظة الإدارة وأن أموال المستخدمين لم تتأثر بشكل مباشر. تم تدقيق العقود الخاصة بالـ Airdrop وتم تعطيل وظيفة "sweepUnclaimed()" بشكل دائم.
بعد الهجوم، انخفض سعر توكن ZK بنسبة 18٪ في فترة قصيرة ليصل إلى 0.040 دولار، لكنه شهد انتعاشًا طفيفًا خلال اليوم ليتداول في نطاق 0.046–0.047 دولار. أثار هذا الحدث من جديد مسألة أمان الوصول الإداري في بروتوكولات الطبقة الثانية وشفافية آليات الإيداع.
ومع ذلك، حدث تطور غير متوقع في نهاية العملية. بعد قبول عرض "المكافأة" (الجائزة) الذي قدمه فريق zkSync للهاكر، أعاد المهاجم 90% من الرموز المميزة المسروقة. تم إجراء هذا السداد في 23 أبريل على شكل ثلاث عمليات إلى محفظة مجلس أمان ZKsync. حصل الهاكر على المتبقي كجائزة تحت مسمى "القبعة البيضاء".
لقد وصل إجمالي قيمة الأصول المستردة، بفضل ارتفاع أسعار ETH و ZK منذ الحادث، إلى مستوى أعلى حتى من القيمة في لحظة الهجوم. أعلنت zkSync أنه يجري إعداد التقرير الفني النهائي المتعلق بالحادث وسيتم مشاركته بشكل مفصل مع المجتمع. الرأي العام في المجتمع هو أن التواصل الشفاف لفريق zkSync وإدارة الأزمات المرنة قد حالا دون حدوث أزمة ثقة أكبر. إن استرداد الأموال وفضل خيار التسوية مع القراصنة قد خلق سيناريو “اختراق أخلاقي” نموذجي لحالات مشابهة. ومع ذلك، أظهر هذا الحدث مرة أخرى كيف يمكن للهياكل ذات المستوى العالي من المركزية أن تحمل مخاطر إضافية ضمن أنظمة المالية مفتوحة المصدر.
هذه المقالة لا تحتوي على نصائح أو اقتراحات استثمارية. كل استثمار وحركة تداول تنطوي على مخاطر ويجب على القراء إجراء أبحاثهم الخاصة عند اتخاذ القرارات.