Giải pháp mở rộng Ethereum Layer-2 zkSync đã bị ảnh hưởng bởi một cuộc tấn công bảo mật lớn vào ngày 15 tháng 4 năm 2025. Một ví quản trị điều hành quy trình airdrop của giao thức đã bị những kẻ xấu chiếm đoạt. Kẻ tấn công đã khai thác chức năng hợp đồng thông minh có tên "sweepUnclaimed()" và tổng cộng đã phát hành 111 triệu ZK token, đồng thời chiếm đoạt tài sản trị giá khoảng 5 triệu đô la. Số tiền này tương đương khoảng 0,45% tổng cung ZK.
Sau sự cố, đội ngũ zkSync đã nhanh chóng can thiệp cùng với đối tác an ninh SEAL. Sau sự kiện, đội ngũ phát triển zkSync đã khởi động một chiến dịch cứu hộ cùng với đối tác an ninh SEAL. Trong thông báo từ đội ngũ, cho biết rằng cuộc tấn công chỉ giới hạn ở ví quản trị và quỹ của người dùng không bị ảnh hưởng trực tiếp. Các hợp đồng liên quan đến Airdrop đã được kiểm tra và chức năng “sweepUnclaimed()” đã bị vô hiệu hóa vĩnh viễn.
Cập nhật: cuộc điều tra đã tiết lộ rằng tài khoản là quản trị viên của ba hợp đồng phân phối airdrop đã bị xâm phạm. Địa chỉ tài khoản bị xâm phạm là 0x842822c797049269A3c29464221995C56da5587D.
Kẻ tấn công đã gọi hàm sweepUnclaimed() mà...
— ZKsync (∎, ∆) (@zksync) 15 tháng 4, 2025
Sau cuộc tấn công, giá token ZK đã giảm 18% trong thời gian ngắn, xuống còn 0,040 đô la, nhưng trong ngày đã phục hồi nhẹ và giao dịch trong khoảng 0,046–0,047 đô la. Sự kiện này một lần nữa đã đưa ra vấn đề về tính an toàn của quyền truy cập quản trị trong các giao thức Layer-2 và tính minh bạch của các cơ chế airdrop.
Tuy nhiên, vào cuối quá trình, đã xảy ra một diễn biến bất ngờ. Sau khi nhóm zkSync chấp nhận đề nghị “bounty” (tiền thưởng) mà họ đưa ra cho hacker, kẻ tấn công đã hoàn trả 90% số token mà hắn đã đánh cắp. Khoản hoàn trả này đã được thực hiện vào ngày 23 tháng 4 dưới dạng ba giao dịch riêng biệt vào ví của Hội đồng An ninh ZKsync. Hacker đã nhận phần còn lại như một khoản thưởng với nhãn “mũ trắng”.
Tổng giá trị của các tài sản đã được thu hồi đã đạt đến một mức cao hơn ngay cả so với giá trị tại thời điểm xảy ra vụ tấn công, nhờ vào việc giá ETH và ZK đã tăng lên kể từ đó. zkSync đã thông báo rằng báo cáo kỹ thuật cuối cùng liên quan đến sự kiện đang được chuẩn bị và sẽ được chia sẻ chi tiết với cộng đồng. Ý kiến chung trong cộng đồng là nhờ vào sự giao tiếp minh bạch và quản lý khủng hoảng linh hoạt của đội ngũ zkSync, một cuộc khủng hoảng niềm tin lớn hơn đã được tránh khỏi. Việc thu hồi quỹ và lựa chọn con đường hòa giải với hacker đã tạo ra một kịch bản “hack đạo đức” mẫu cho các tình huống tương tự. Tuy nhiên, sự kiện này một lần nữa chỉ ra rằng các cấu trúc có mức độ tập trung cao chứa đựng những rủi ro bổ sung như thế nào trong các hệ thống tài chính nguồn mở.
Bài viết này không chứa lời khuyên hoặc đề xuất đầu tư. Mọi hoạt động đầu tư và giao dịch đều có rủi ro và độc giả nên tự tiến hành nghiên cứu khi đưa ra quyết định.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
ZKsync đã cứu một token bị đánh cắp trị giá 5 triệu đô la
Giải pháp mở rộng Ethereum Layer-2 zkSync đã bị ảnh hưởng bởi một cuộc tấn công bảo mật lớn vào ngày 15 tháng 4 năm 2025. Một ví quản trị điều hành quy trình airdrop của giao thức đã bị những kẻ xấu chiếm đoạt. Kẻ tấn công đã khai thác chức năng hợp đồng thông minh có tên "sweepUnclaimed()" và tổng cộng đã phát hành 111 triệu ZK token, đồng thời chiếm đoạt tài sản trị giá khoảng 5 triệu đô la. Số tiền này tương đương khoảng 0,45% tổng cung ZK.
Sau sự cố, đội ngũ zkSync đã nhanh chóng can thiệp cùng với đối tác an ninh SEAL. Sau sự kiện, đội ngũ phát triển zkSync đã khởi động một chiến dịch cứu hộ cùng với đối tác an ninh SEAL. Trong thông báo từ đội ngũ, cho biết rằng cuộc tấn công chỉ giới hạn ở ví quản trị và quỹ của người dùng không bị ảnh hưởng trực tiếp. Các hợp đồng liên quan đến Airdrop đã được kiểm tra và chức năng “sweepUnclaimed()” đã bị vô hiệu hóa vĩnh viễn.
Sau cuộc tấn công, giá token ZK đã giảm 18% trong thời gian ngắn, xuống còn 0,040 đô la, nhưng trong ngày đã phục hồi nhẹ và giao dịch trong khoảng 0,046–0,047 đô la. Sự kiện này một lần nữa đã đưa ra vấn đề về tính an toàn của quyền truy cập quản trị trong các giao thức Layer-2 và tính minh bạch của các cơ chế airdrop.
Tuy nhiên, vào cuối quá trình, đã xảy ra một diễn biến bất ngờ. Sau khi nhóm zkSync chấp nhận đề nghị “bounty” (tiền thưởng) mà họ đưa ra cho hacker, kẻ tấn công đã hoàn trả 90% số token mà hắn đã đánh cắp. Khoản hoàn trả này đã được thực hiện vào ngày 23 tháng 4 dưới dạng ba giao dịch riêng biệt vào ví của Hội đồng An ninh ZKsync. Hacker đã nhận phần còn lại như một khoản thưởng với nhãn “mũ trắng”.
Tổng giá trị của các tài sản đã được thu hồi đã đạt đến một mức cao hơn ngay cả so với giá trị tại thời điểm xảy ra vụ tấn công, nhờ vào việc giá ETH và ZK đã tăng lên kể từ đó. zkSync đã thông báo rằng báo cáo kỹ thuật cuối cùng liên quan đến sự kiện đang được chuẩn bị và sẽ được chia sẻ chi tiết với cộng đồng. Ý kiến chung trong cộng đồng là nhờ vào sự giao tiếp minh bạch và quản lý khủng hoảng linh hoạt của đội ngũ zkSync, một cuộc khủng hoảng niềm tin lớn hơn đã được tránh khỏi. Việc thu hồi quỹ và lựa chọn con đường hòa giải với hacker đã tạo ra một kịch bản “hack đạo đức” mẫu cho các tình huống tương tự. Tuy nhiên, sự kiện này một lần nữa chỉ ra rằng các cấu trúc có mức độ tập trung cao chứa đựng những rủi ro bổ sung như thế nào trong các hệ thống tài chính nguồn mở.
Bài viết này không chứa lời khuyên hoặc đề xuất đầu tư. Mọi hoạt động đầu tư và giao dịch đều có rủi ro và độc giả nên tự tiến hành nghiên cứu khi đưa ra quyết định.