近期行业集体水逆,安全事件频发。
4月15日晚间,曾任 L2“四大天王”之一的 ZKsync 被爆出一起项目**安全事件,但信息并不是项目方**披露。昨晚21:00社区成员披露,Zksync 在链上印发 1.1 亿枚**,并已在链上不断出售 6600 万枚**,但根据**解锁信息,团队和投资者**仍处于锁定状态。
受此消息影响,ZK在半小时内跌破0.04 USDT,**触及0.03972 USDT。韩国交易所Bithumb 表示发现 ZK 存在安全问题,临时暂停ZK充提业务,直至确保市场稳定。ZKsync官方此时也在官方 Discord 回复称正在开展调查。
就在社区猜测此次事件为项目方主动增发**作恶时,ZKsync 发布公告称:
经调查,此次安全事件是因三个空投分发合约的管理员账户密钥泄露而被入侵,攻击者调用了 sweepUnclaimed() 函数,从 aidrop 合约中铸造了约 1.11 亿枚非申领 ZK **,使流通中**供应量增长约0.45%,价值约500万美元。但此次攻击仅涉及ZK **空投分配合约,ZKsync 协议、ZK **合约、所有三个治理合约以及所有活跃的**计划上限铸币者均未受到此次事件的影响。目前正在与交易所协调恢复工作,建议攻击者退还资金并避免承担法律责任。
调查仍在进行中,晚些时候将公布详细更新信息。
然而,官方这样的解释无法使社区信服——据链上数据,黑客在4月13日20:00(UTC 8)就已经从ZK**空投分配合约中铸造了1.11亿枚**,并且随即开始不断跨链转移和出售。截至目前该账户仅剩约4468万枚ZK,价值约212万美元,仍占**供应量的0.34%。
黑客在4月13日就攻击成功
因此也可得出初步结论,昨晚ZK**价格下跌并非全由黑客抛售造成,主要是被盗丑闻泄漏,引起了社区恐慌性抛售。
虽然ZK**价格现已回升到0.045USDT上方,但值得思考的是,空投**实际早已被盗,但却在两天后才由社区**披露,ZKsync此前是真不知情还是为了避免社区**而故意隐瞒?若ZKsync真是通过社区渠道才知情并展开调查,那么也不由感叹这个曾经的天王级项目背后也是一群“草台班子”,被偷家了还浑然不觉。
社区合理推测,此次事件是否为内部成员的监守自盗,难道空投合约管理员账户密钥是由一人保管?同时既然事件已经发生,后续失窃资金该如何处理,能否成功冻结或者进行回购?这些问题都有待团队进行解答。**调查结果,Odaily星球日报也将持续跟踪报道。
此次事件也凸显了在原本去**化的系统中,**化管理员权限所带来的风险。强大的账户访问控制与智能合约安全本身就同样重要,管理员密钥的安全性也会严重影响加密项目的安全性,不应将其分开而论。
然而,就在疑云重重,黑客还在高高兴兴卖币时,ZKsync创始人还在X平台自信表示,“此次攻击事件,项目代码没有被泄漏,仅是管理员密钥泄漏,这就是为什么ZK是终局。”
ZK验证等技术一直被标榜比乐观性证明(Op)具有更好的安全性,一度被认为是以太坊 L2 **的技术形态,也就是Endgame。然而,此次**被盗事件虽然未涉及核心项目**,但对空投分配合约的保护措施未免太薄弱,仿佛一座先进高科技大厦的墙体里填充的还是古时盖房用的稻草。
面对社区“既然作为 ZK 领域的领导者之一,为什么没有预见到这次攻击”的质问时,ZKsync创始人能大言不惭地回应“无法预见到黑天鹅”。权限账户密钥被盗对区块链项目来说是最普遍的攻击方式,就如用户每天面对的网络钓鱼,ZKsync没有预先加强保护安全措施而将一切定义为黑天鹅,也反映出团队的安全意识薄弱。
此外,ZKsync在实际应用方面又表现如何呢?根据DeFiLlama数据,ZKsync当前TVL为5529万美元,排名第52位,同时其24小时链收入仅2178美元,从2024年9月开始每日收入就低于5000美元。相比之下,Arbitrum每日收入仍超1万美元。ZKsync已成名副其实的“鬼链”。
ZKsync正在走向Endgame,这不是电影里超级英雄大败BOSS后的**结局,而是游戏里因太菜**掉的黑屏结局。但在被**干掉之前,希望ZKsync能先救救套牢的投资者们。
