Katman-2 Ethereum ölçeklendirme protokolü zkSync, 15 Nisan Salı günü gerçekleştirilen airdrop işlemleri sırasında bir siber saldırıya maruz kaldı. Saldırganlar, protokolün yönetici cüzdanını hackleyerek 5 milyon dolar değerinde ZK token üretti ve bu tokenları zimmetine geçirdi.
Olayın gerçekleşme şekli, zkSync’in airdrop süreçlerini yöneten akıllı sözleşmelerde bulunan “sweepUnclaimed()” adlı işlevin kötüye kullanılması yoluyla oldu. Bu işlev, normalde talep edilmeyen ZK token’larını geri çekmek için tasarlanmıştı. Ancak saldırgan, üç farklı airdrop sözleşmesinden toplamda 111 milyon ZK token basarak bu işlevi suistimal etti. Bu işlem, toplam token arzının yaklaşık yüzde 0,45’ine tekabül ediyor.
Saldırının ardından zkSync geliştirici ekibi, güvenlik ortağı SEAL ile birlikte bir kurtarma operasyonu gerçekleştirdi. Ekip, saldırının sadece yönetici cüzdan ile sınırlı olduğunu ve kullanıcı fonlarının etkilenmediğini duyurdu. Ayrıca, “sweepUnclaimed()” işlevinin devre dışı bırakıldığı ve sistemde başka bir açığın bulunmadığı da vurgulandı.
ZK fiyatı dakikalar içinde çakıldı
ZKsync, sıfır bilgi toplamaları teknolojisini kullanarak ana katman işlemlerini toplu halde yöneten bir Ethereum katman-2 protokolüdür. ZK token ise bu protokolün yönetişim token’ıdır. Saldırının ardından ZK token fiyatında önemli bir dalgalanma gözlemlendi. CoinMarketCap verilerine göre, ZK token hemen olaydan sonra yüzde 18 değer kaybı yaşayarak 0,040 dolara kadar düştü. Ancak daha sonra kendini topar
