ZKsync，挽回了價值500萬美元的被盜代幣

作爲層二以太坊擴容解決方案的zkSync，在2025年4月15日遭遇了一次重大安全漏洞。管理協議空投流程的一個管理員錢包被惡意人員控制。攻擊者利用名爲“sweepUnclaimed()”的智能合約功能，鑄造了總計111百萬個ZK token，並挪用了價值約500萬的資產。這個金額大約相當於總ZK供應量的0.45%。

事件發生後，zkSync團隊與安全合作夥伴SEAL迅速進行了幹預。在事件之後，zkSync開發團隊與安全合作夥伴SEAL一起發起了救援行動。團隊的聲明中指出，攻擊僅限於管理員錢包，用戶資金未受到直接影響。對空投相關合約進行了審計，並且“sweepUnclaimed()”功能被永久禁用。

更新：調查顯示，負責三個空投分發合約的管理員帳戶已被入侵。被入侵的帳戶地址是0x842822c797049269A3c29464221995C56da5587D.

攻擊者調用了 sweepUnclaimed() 函數，…

— ZKsync (∎，2025 年 4 月 15 日∆) (@zksync)

在攻擊之後，ZK 代幣的價格迅速下跌了 18%，降至 0.040 美元，但在當天稍有回升，交易價格在 0.046–0.047 美元之間。此次事件再次引發了對第二層協議中管理訪問安全性和空投機制透明性的討論。

然而，在過程的最後發生了意想不到的發展。zkSync團隊向黑客提供的**“賞金” (獎勵)提議被接受後，攻擊者歸還了所竊取的90%的代幣**。這筆退款於4月23日以三筆獨立交易的形式轉入ZKsync安全委員會的錢包。黑客以“白帽子”標籤獲得了剩餘部分作爲獎勵。

被追回的資產總價值由於事件發生以來以太坊和ZK價格的漲，已達到甚至超過攻擊時的價值水平。zkSync宣布最終技術報告正在準備中，並將詳細與社區分享。社區普遍認爲，由於zkSync團隊的透明溝通和靈活的危機管理，避免了更大的信任危機。資金的追回和與黑客達成和解的選擇，爲類似情況創造了一個示範性的“倫理黑客”場景。然而，這一事件再次揭示了高中心化結構在開源金融系統中可能帶來的額外風險。

本文不包含投資建議或推薦。每個投資和交易行爲都存在風險，讀者在做決定時應自行進行研究。