点击蓝字
关注我们
2025年4月15日,以太坊L2“四大天王”之一的ZKsync被黑客成功攻破,损失高达500万美元。
这次事件,不仅再次暴露出链上安全的脆弱,也让人开始反思:区块链防得了黑客,防得了人心吗?
事件回顾
2025年4月15日晚9点29分起,ZKsync代币ZK价格在短短七分钟内暴跌17.2%,最低触及0.0396美元。随后,韩国交易所Bithumb紧急宣布因安全问题暂停了ZKsync的充提业务。
当晚9点49分,ZKsync官方迅速发声,承认一个管理员账户被盗,攻击者利用这一漏洞,铸造了1.11亿枚约500万美元的ZK代币。这批代币并非凭空产生,而是来自此前空投活动中未被认领的剩余代币。
官方强调,事件仅限于空投合约本身,用户资产和主网协议均未受影响。
ZKsync空投合约被盗分析
ZK代币铸造转给黑客地址0xb1……05d3。
2.ZK代币兑换ETH
0xb1……05d3地址通过1inch等平台,将ZK代币少量多次兑换成ETH。
3.转移ETH
0xb1……05d3地址在2025.4.13将1002个ETH转移到ETH链上。
可以在ETH链上看到0xb1……05d3地址的余额即转移过来的1002个ETH。
4.资金统计
从数据整体来看,黑客地址0xb1……05d3通过将铸造的ZK代币共兑换成2048个ETH。
其中转移到ETH链上1105个。
剩余在era.zksync上1021个ETH。
虽然官方第一时间控制局面,但社区并不买账。链上增发+砸盘出货的戏码令人咋舌,引发了对中心化作恶的广泛质疑。
是黑客,还是监守自盗?
管理权限问题:为什么空投合约存在管理员密钥?为何sweepUnclaimed()这类高风险函数还保留在合约中?
中心化担忧:一个地址能控制三个分发合约,所谓去中心化何在?
治理失信:如此“鬼畜”式增发,会不会导致投资机构对ZK项目整体失去信任?
ZKsync的空投活动曾被誉为「以太坊L2四天王」之一的重要节点,如今却因管理失误,自己砸了自己的招牌。
ZKsync光环破灭
ZKsync曾是市场四大Rollup方案(Optimism、Arbitrum、zkSync、StarkNet)之一,主打零知识证明(ZK Rollup),能直接验证交易有效性,大幅降低交易费用、提升速度。
但现实却异常凄惨:自2024年6月空投后,ZKsync生态迅速“退潮”,大量参与者选择清仓离场。
活跃地址暴跌83.5%
日交易量下降86%
协议单日收入常常不足1000美元
更令人诧异的是,从2025年3月14日至3月27日,链上数据显示,ZKsync生态几乎没有任何新增活跃应用。社区早已将其戏称为——“鬼链”。
后续调查与处理结果
根据ZKsync官方的后续调查:
攻击者在4月13日通过被盗的管理员密钥,从三个空投合约中铸造了1118万枚未申领的ZK代币;
在随后的两天内,黑客将其中约671万枚ZK兑换成了1116枚ETH;
4月15日,开发团队Matter Labs发现异常并冻结了相关账户;
在ZKsync安全委员会发出72小时通牒后,攻击者于4月23日归还了90%的资金,并获得10%的赏金作为交换。
目前追回的ETH由ZKsync安全委员会保管,后续如何处理,将通过社区治理投票决定。追回的ETH预计会逐步兑换成ZK代币返还。
调查还发现,密钥泄露可能源自前员工账户,但并无证据显示该员工有主观恶意。
此外,ZKsync表示将采取一系列措施,防止此类事件再次发生,包括:
空投合约多签模式升级,杜绝1/1式单点失败;
管理权限定期轮换;
监控系统升级,加强异常交易检测。
总结
在区块链世界,技术漏洞固然可怕,但更致命的是人为失误和中心化风险。一条链,一个项目,是否真正做到权限最小化、防止内部作恶,才是真正决定其能走多远的关键。
ZKsync快速反应、公开透明的处理态度值得肯定,但要想重新赢回社区的信任,单靠一纸声明显然不够。区块链,靠代码赢得尊重,更要靠制度赢得信任。
如果您在使用加密货币过程中遇到安全问题,或希望了解更多防范措施,欢迎添加小助理微信号随时“勾搭”我们。
👇👇👇
小助理微信号
我们提供以下专业服务:
钱包安全体检:检测你的钱包是否存在授权风险。
加密资产追踪:已经被盗,可提供链上分析报告,追踪资产流向。
防骗法律咨询:遭遇诈骗,可联系我们获得专业建议。
本文不提供任何投资理财建议,请谨慎甄别守护财产安全
【往期精彩回顾】▼▼: