Solusi skalabilitas layer-2 Ethereum, zkSync, terguncang oleh pelanggaran keamanan besar pada 15 April 2025. Dompet pengelola yang mengatur proses airdrop protokol telah diretas oleh pihak yang tidak bertanggung jawab. Penyerang mengeksploitasi fungsi kontrak pintar yang disebut "sweepUnclaimed()" untuk mencetak total 111 juta token ZK dan mengalihkan aset senilai sekitar 5 juta dolar. Jumlah ini setara dengan sekitar 0,45 persen dari total pasokan ZK.
Setelah kejadian, tim zkSync melakukan intervensi cepat bersama mitra keamanan SEAL. Setelah kejadian, tim pengembang zkSync memulai operasi pemulihan bersama mitra keamanan SEAL. Dalam pernyataan tim, disampaikan bahwa serangan tersebut hanya terbatas pada dompet administrator dan dana pengguna tidak terpengaruh secara langsung. Audit kontrak yang terkait dengan Airdrop dilakukan dan fungsi "sweepUnclaimed()" dinonaktifkan secara permanen.
Pembaruan: penyelidikan telah mengungkapkan bahwa akun yang menjadi admin dari tiga kontrak distribusi airdrop telah dikompromikan. Alamat akun yang dikompromikan adalah 0x842822c797049269A3c29464221995C56da5587D.
Penyerang memanggil fungsi sweepUnclaimed() yang…
— ZKsync (∎, ∆) (@zksync) 15 April 2025
Setelah serangan, harga token ZK turun sebesar 18 persen dalam waktu singkat hingga mencapai 0,040 dolar, tetapi pada siang hari sedikit pulih dan diperdagangkan di kisaran 0,046–0,047 dolar. Peristiwa ini sekali lagi menyoroti keamanan akses pengelola dalam protokol Lapisan-2 dan transparansi mekanisme airdrop.
Namun, di akhir proses, ada perkembangan yang tidak terduga. Setelah tim zkSync menerima tawaran peretas tentang "bounty" (ödül), penyerang mengembalikan 90% token yang dicuri. Pembayaran ini dilakukan ke dompet Dewan Keamanan ZKsync dalam tiga transaksi terpisah pada 23 April. Peretas menerima sisanya sebagai hadiah dengan label "topi putih".
Total nilai aset yang dipulihkan, berkat peningkatan harga ETH dan ZK sejak insiden, telah mencapai tingkat yang bahkan lebih tinggi dari nilai saat serangan. zkSync mengumumkan bahwa laporan teknis akhir terkait insiden sedang disiapkan dan akan dibagikan secara mendetail dengan komunitas. Konsensus di komunitas adalah bahwa komunikasi transparan dari tim zkSync dan manajemen krisis yang fleksibel telah mencegah krisis kepercayaan yang lebih besar. Pemulihan dana dan preferensi untuk berkompromi dengan hacker telah menciptakan skenario "hack etis" yang menjadi contoh untuk situasi serupa. Namun, insiden ini juga sekali lagi menunjukkan bagaimana struktur dengan tingkat sentralisasi tinggi dapat menyimpan risiko tambahan dalam sistem keuangan sumber terbuka.
Artikel ini tidak mengandung saran atau rekomendasi investasi. Setiap investasi dan aktivitas jual beli mengandung risiko dan pembaca harus melakukan penelitian mereka sendiri saat membuat keputusan.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
ZKsync berhasil menyelamatkan token yang dicuri senilai 5 juta dolar
Solusi skalabilitas layer-2 Ethereum, zkSync, terguncang oleh pelanggaran keamanan besar pada 15 April 2025. Dompet pengelola yang mengatur proses airdrop protokol telah diretas oleh pihak yang tidak bertanggung jawab. Penyerang mengeksploitasi fungsi kontrak pintar yang disebut "sweepUnclaimed()" untuk mencetak total 111 juta token ZK dan mengalihkan aset senilai sekitar 5 juta dolar. Jumlah ini setara dengan sekitar 0,45 persen dari total pasokan ZK.
Setelah kejadian, tim zkSync melakukan intervensi cepat bersama mitra keamanan SEAL. Setelah kejadian, tim pengembang zkSync memulai operasi pemulihan bersama mitra keamanan SEAL. Dalam pernyataan tim, disampaikan bahwa serangan tersebut hanya terbatas pada dompet administrator dan dana pengguna tidak terpengaruh secara langsung. Audit kontrak yang terkait dengan Airdrop dilakukan dan fungsi "sweepUnclaimed()" dinonaktifkan secara permanen.
Setelah serangan, harga token ZK turun sebesar 18 persen dalam waktu singkat hingga mencapai 0,040 dolar, tetapi pada siang hari sedikit pulih dan diperdagangkan di kisaran 0,046–0,047 dolar. Peristiwa ini sekali lagi menyoroti keamanan akses pengelola dalam protokol Lapisan-2 dan transparansi mekanisme airdrop.
Namun, di akhir proses, ada perkembangan yang tidak terduga. Setelah tim zkSync menerima tawaran peretas tentang "bounty" (ödül), penyerang mengembalikan 90% token yang dicuri. Pembayaran ini dilakukan ke dompet Dewan Keamanan ZKsync dalam tiga transaksi terpisah pada 23 April. Peretas menerima sisanya sebagai hadiah dengan label "topi putih".
Total nilai aset yang dipulihkan, berkat peningkatan harga ETH dan ZK sejak insiden, telah mencapai tingkat yang bahkan lebih tinggi dari nilai saat serangan. zkSync mengumumkan bahwa laporan teknis akhir terkait insiden sedang disiapkan dan akan dibagikan secara mendetail dengan komunitas. Konsensus di komunitas adalah bahwa komunikasi transparan dari tim zkSync dan manajemen krisis yang fleksibel telah mencegah krisis kepercayaan yang lebih besar. Pemulihan dana dan preferensi untuk berkompromi dengan hacker telah menciptakan skenario "hack etis" yang menjadi contoh untuk situasi serupa. Namun, insiden ini juga sekali lagi menunjukkan bagaimana struktur dengan tingkat sentralisasi tinggi dapat menyimpan risiko tambahan dalam sistem keuangan sumber terbuka.
Artikel ini tidak mengandung saran atau rekomendasi investasi. Setiap investasi dan aktivitas jual beli mengandung risiko dan pembaca harus melakukan penelitian mereka sendiri saat membuat keputusan.