Solusi skalabilitas layer-2 Ethereum, zkSync, terguncang oleh pelanggaran keamanan besar pada 15 April 2025. Dompet pengelola yang mengatur proses airdrop protokol telah diretas oleh pihak yang tidak bertanggung jawab. Penyerang mengeksploitasi fungsi kontrak pintar yang disebut “sweepUnclaimed()” untuk mencetak total 111 juta token ZK dan mengalihkan aset senilai sekitar 5 juta dolar. Jumlah ini setara dengan sekitar 0,45 persen dari total pasokan ZK.
Setelah kejadian, tim zkSync melakukan intervensi cepat bersama mitra keamanan SEAL. Setelah kejadian, tim pengembang zkSync memulai operasi pemulihan bersama mitra keamanan SEAL. Dalam pernyataan tim, disampaikan bahwa serangan tersebut hanya terbatas pada dompet administrator dan dana pengguna tidak terpengaruh secara langsung. Audit kontrak yang terkait dengan Airdrop dilakukan dan fungsi “sweepUnclaimed()” dinonaktifkan secara permanen.
Pembaruan: penyelidikan telah mengungkapkan bahwa akun yang menjadi admin dari tiga kontrak distribusi airdrop telah dikompromikan. Alamat akun yang dikompromikan adalah 0x842822c797049269A3c29464221995C56da5587D.
Penyerang memanggil fungsi sweepUnclaimed() yang…
— ZKsync (∎, ∆) (@zksync) 15 April 2025
Setelah serangan, harga token ZK turun sebesar 18 persen dalam waktu singkat hingga mencapai 0,040 dolar, tetapi pada siang hari sedikit pulih dan diperdagangkan di kisaran 0,046–0,047 dolar. Peristiwa ini sekali lagi menyoroti keamanan akses pengelola dalam protokol Lapisan-2 dan transparansi mekanisme airdrop.
Namun, di akhir proses, ada perkembangan yang tidak terduga. Setelah tim zkSync menerima tawaran peretas tentang “bounty” (ödül), penyerang mengembalikan 90% token yang dicuri. Pembayaran ini dilakukan ke dompet Dewan Keamanan ZKsync dalam tiga transaksi terpisah pada 23 April. Peretas menerima sisanya sebagai hadiah dengan label “topi putih”.
Total nilai aset yang dipulihkan, berkat peningkatan harga ETH dan ZK sejak insiden, telah mencapai tingkat yang bahkan lebih tinggi dari nilai saat serangan. zkSync mengumumkan bahwa laporan teknis akhir terkait insiden sedang disiapkan dan akan dibagikan secara mendetail dengan komunitas. Konsensus di komunitas adalah bahwa komunikasi transparan dari tim zkSync dan manajemen krisis yang fleksibel telah mencegah krisis kepercayaan yang lebih besar. Pemulihan dana dan preferensi untuk berkompromi dengan hacker telah menciptakan skenario “hack etis” yang menjadi contoh untuk situasi serupa. Namun, insiden ini juga sekali lagi menunjukkan bagaimana struktur dengan tingkat sentralisasi tinggi dapat menyimpan risiko tambahan dalam sistem keuangan sumber terbuka.
Artikel ini tidak mengandung saran atau rekomendasi investasi. Setiap investasi dan aktivitas jual beli mengandung risiko dan pembaca harus melakukan penelitian mereka sendiri saat membuat keputusan.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
