ZKsync，挽回了价值500万美元的被盗代币

作为层二以太坊扩容解决方案的zkSync，在2025年4月15日遭遇了一次重大安全漏洞。管理协议空投流程的一个管理员钱包被恶意人员控制。攻击者利用名为“sweepUnclaimed()”的智能合约功能，铸造了总计111百万个ZK token，并挪用了价值约500万的资产。这个金额大约相当于总ZK供应量的0.45%。

事件发生后，zkSync团队与安全合作伙伴SEAL迅速进行了干预。在事件之后，zkSync开发团队与安全合作伙伴SEAL一起发起了救援行动。团队的声明中指出，攻击仅限于管理员钱包，用户资金未受到直接影响。对空投相关合约进行了审计，并且“sweepUnclaimed()”功能被永久禁用。

更新：调查显示，负责三个空投分发合约的管理员账户已被入侵。被入侵的账户地址是0x842822c797049269A3c29464221995C56da5587D.

攻击者调用了 sweepUnclaimed() 函数，…

— ZKsync (∎，2025 年 4 月 15 日∆) (@zksync)

在攻击之后，ZK 代币的价格迅速下跌了 18%，降至 0.040 美元，但在当天稍有回升，交易价格在 0.046–0.047 美元之间。此次事件再次引发了对第二层协议中管理访问安全性和空投机制透明性的讨论。

然而，在过程的最后发生了意想不到的发展。zkSync团队向黑客提供的**“赏金” (奖励)提议被接受后，攻击者归还了所窃取的90%的代币**。这笔退款于4月23日以三笔独立交易的形式转入ZKsync安全委员会的钱包。黑客以“白帽子”标签获得了剩余部分作为奖励。

被追回的资产总价值由于事件发生以来以太坊和ZK价格的上涨，已达到甚至超过攻击时的价值水平。zkSync宣布最终技术报告正在准备中，并将详细与社区分享。社区普遍认为，由于zkSync团队的透明沟通和灵活的危机管理，避免了更大的信任危机。资金的追回和与黑客达成和解的选择，为类似情况创造了一个示范性的“伦理黑客”场景。然而，这一事件再次揭示了高中心化结构在开源金融系统中可能带来的额外风险。

本文不包含投资建议或推荐。每个投资和交易行为都存在风险，读者在做决定时应自行进行研究。