Katman-2 Ethereum ölçekleme çözümü olan zkSync, 15 Nisan 2025’te büyük bir güvenlik ihlaliyle sarsıldı. Protokolün airdrop sürecini yöneten bir yönetici cüzdanı, kötü niyetli kişilerce ele geçirildi. Saldırgan, “sweepUnclaimed()” adlı akıllı sözleşme işlevini istismar ederek toplam 111 milyon adet ZK token bastı ve yaklaşık 5 milyon dolar değerinde varlığı zimmetine geçirdi. Bu tutar, toplam ZK arzının yaklaşık yüzde 0,45’ine denk geliyor.
Olay sonrası zkSync ekibi, güvenlik ortağı SEAL ile birlikte hızlı bir müdahalede bulundu.Olayın ardından zkSync geliştirici ekibi, güvenlik ortağı SEAL ile birlikte bir kurtarma operasyonu başlattı. Ekipten yapılan açıklamada, saldırının yalnızca yönetici cüzdan ile sınırlı olduğu ve kullanıcı fonlarının doğrudan etkilenmediği belirtildi. Airdrop’a ait sözleşmelerin denetimi yapıldı ve “sweepUnclaimed()” fonksiyonu kalıcı olarak devre dışı bırakıldı.
Update: the investigation has revealed that the account that was the admin of the three airdrop distribution contracts had been compromised. The compromised account address is 0x842822c797049269A3c29464221995C56da5587D.
The attacker called the sweepUnclaimed() function that…
— ZKsync (∎, ∆) (@zksync) April 15, 2025
Saldırının ardından ZK token fiyatı kısa sürede yüzde 18 düşerek 0,040 dolara kadar geriledi, ancak gün içinde hafif toparlanarak 0,046–0,047 dolar aralığında işlem gördü. Yaşanan bu olay, Katman-2 protokollerinde yönetici erişiminin güvenliğini ve airdrop mekanizmalarının şeffaflığını bir kez daha gündeme taşıdı.
Ancak sürecin sonunda beklenmedik bir gelişme yaşandı. zkSync ekibinin hacker’a sunduğu “bounty” (ödül) teklifini kabul etmesi üzerine saldırgan, çaldığı token’ların yüzde 90’ını iade etti. Bu geri ödeme, 23 Nisan’da üç ayrı işlem halinde ZKsync Güvenlik Konseyi cüzdanına yapıldı. Hacker, kalan kısmı “beyaz şapkalı” etiketiyle ödül olarak aldı.
Geri alınan varlıkların toplam değeri, olaydan bu yana ETH ve ZK fiyatlarının artması sayesinde, saldırı anındaki değerden bile daha yüksek bir seviyeye ulaştı. zkSync, olayla ilgili nihai teknik raporun hazırlanmakta olduğunu ve toplulukla detaylı şekilde paylaşılacağını duyurdu. Toplulukta genel kanı, zkSync ekibinin şeffaf iletişimi ve esnek kriz yönetimi sayesinde daha büyük bir güven krizinin önüne geçildiği yönünde. Fonların geri alınması ve hacker ile uzlaşı yolunun tercih edilmesi, benzer durumlar için örnek bir “etik hack” senaryosu oluşturmuş durumda. Ancak bu olay, merkeziyet düzeyi yüksek olan yapıların, açık kaynaklı finans sistemleri içinde nasıl ek riskler barındırabildiğini de bir kez daha ortaya koydu.
Bu makale yatırım tavsiyesi veya önerisi içermemektedir. Her yatırım ve alım satım hareketi risk içerir ve okuyucular karar verirken kendi araştırmalarını yapmalıdır.
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
ZKsync, 5 milyon dolar değerindeki çalıntı token'ı kurtardı
Katman-2 Ethereum ölçekleme çözümü olan zkSync, 15 Nisan 2025’te büyük bir güvenlik ihlaliyle sarsıldı. Protokolün airdrop sürecini yöneten bir yönetici cüzdanı, kötü niyetli kişilerce ele geçirildi. Saldırgan, “sweepUnclaimed()” adlı akıllı sözleşme işlevini istismar ederek toplam 111 milyon adet ZK token bastı ve yaklaşık 5 milyon dolar değerinde varlığı zimmetine geçirdi. Bu tutar, toplam ZK arzının yaklaşık yüzde 0,45’ine denk geliyor.
Olay sonrası zkSync ekibi, güvenlik ortağı SEAL ile birlikte hızlı bir müdahalede bulundu.Olayın ardından zkSync geliştirici ekibi, güvenlik ortağı SEAL ile birlikte bir kurtarma operasyonu başlattı. Ekipten yapılan açıklamada, saldırının yalnızca yönetici cüzdan ile sınırlı olduğu ve kullanıcı fonlarının doğrudan etkilenmediği belirtildi. Airdrop’a ait sözleşmelerin denetimi yapıldı ve “sweepUnclaimed()” fonksiyonu kalıcı olarak devre dışı bırakıldı.
Saldırının ardından ZK token fiyatı kısa sürede yüzde 18 düşerek 0,040 dolara kadar geriledi, ancak gün içinde hafif toparlanarak 0,046–0,047 dolar aralığında işlem gördü. Yaşanan bu olay, Katman-2 protokollerinde yönetici erişiminin güvenliğini ve airdrop mekanizmalarının şeffaflığını bir kez daha gündeme taşıdı.
Ancak sürecin sonunda beklenmedik bir gelişme yaşandı. zkSync ekibinin hacker’a sunduğu “bounty” (ödül) teklifini kabul etmesi üzerine saldırgan, çaldığı token’ların yüzde 90’ını iade etti. Bu geri ödeme, 23 Nisan’da üç ayrı işlem halinde ZKsync Güvenlik Konseyi cüzdanına yapıldı. Hacker, kalan kısmı “beyaz şapkalı” etiketiyle ödül olarak aldı.
Geri alınan varlıkların toplam değeri, olaydan bu yana ETH ve ZK fiyatlarının artması sayesinde, saldırı anındaki değerden bile daha yüksek bir seviyeye ulaştı. zkSync, olayla ilgili nihai teknik raporun hazırlanmakta olduğunu ve toplulukla detaylı şekilde paylaşılacağını duyurdu. Toplulukta genel kanı, zkSync ekibinin şeffaf iletişimi ve esnek kriz yönetimi sayesinde daha büyük bir güven krizinin önüne geçildiği yönünde. Fonların geri alınması ve hacker ile uzlaşı yolunun tercih edilmesi, benzer durumlar için örnek bir “etik hack” senaryosu oluşturmuş durumda. Ancak bu olay, merkeziyet düzeyi yüksek olan yapıların, açık kaynaklı finans sistemleri içinde nasıl ek riskler barındırabildiğini de bir kez daha ortaya koydu.
Bu makale yatırım tavsiyesi veya önerisi içermemektedir. Her yatırım ve alım satım hareketi risk içerir ve okuyucular karar verirken kendi araştırmalarını yapmalıdır.