سرقت ۵ میلیون دلاری توکن ZKsync پس از هک کیف پول ادمین

دیروز در تاریخ ۱۵ آوریل ۲۰۲۵، پروژه ZKsync به‌طور رسمی تأیید کرد که در پی هک شدن یکی از کیف‌ پول‌های ادمین متصل به قراردادهای ایردراپ، حدود ۵ میلیون دلار توکن ZK به سرقت رفته است. این حمله به مهاجم اجازه داد تا از طریق تابع sweepUnclaimed()، حدود ۱۱۱ میلیون توکن ادعانشده را به‌صورت غیرمجاز مینت کند. کیف پول هک‌شده با آدرس 0x842822c797049269A3c29464221995C56da5587D شناسایی شده است.

حمله محدود به قراردادهای ایردراپ؛ دسترسی مهاجم قطع شده است

بر اساس اعلام رسمی تیم ZKsync، این اتفاق تنها به دلیل لو رفتن کلید خصوصی یکی از کیف پول‌های ادمین رخ داده و تنها به سه قرارداد توزیع ایردراپ محدود بوده است. تیم فنی پروژه تأکید کرده که تمامی توکن‌هایی که می‌شد از این طریق مینت کرد، هم‌اکنون استخراج شده‌اند و امکان سوءاستفاده بیشتر از این روش دیگر وجود ندارد.

سقوط ۲۰ درصدی قیمت ZK؛ واکنش سریع بازار به حمله

پس از انتشار خبر هک، قیمت توکن ZK با کاهش شدیدی مواجه شد. در حوالی ساعت ۱۳:۵۰ به وقت UTC، ارزش این توکن حدود ۲۰ درصد افت کرد که احتمالاً ناشی از فروش سریع توکن‌های به سرقت رفته بوده است.

در پایان روز، افت قیمت به حدود ۱۵ درصد رسید. در همین حال، حجم معاملات این توکن با افزایشی ۹۶ درصدی به رقم ۷۱ میلیون دلار رسید.

پروتکل ZKsync و دارایی‌های کاربران در امان هستند

ZKsync در اطلاعیه‌ای رسمی اعلام کرد که پروتکل اصلی، قرارداد توکن ZK، قراردادهای حاکمیتی و برنامه‌های مینتینگ محدود تحت تأثیر این حمله قرار نگرفته‌اند. تیم توسعه تأکید کرد که دارایی‌های کاربران هیچ‌گاه در معرض خطر نبوده‌اند و تنها منابع مربوط به ایردراپ مورد سوءاستفاده قرار گرفته‌اند. همچنین اعلام شد که تدابیر امنیتی لازم اتخاذ شده و تیم در حال انجام بررسی‌های داخلی است. گزارش کامل این حادثه پس از پایان تحقیقات منتشر خواهد شد.

دعوت از هکر برای بازگرداندن دارایی‌ها؛ هشدار در مورد پیگرد قانونی

تیم ZKsync از مهاجم خواسته تا با ارسال ایمیل به آدرس security@zksync.io برای بازگرداندن دارایی‌های به‌سرقت‌رفته تماس بگیرد. در غیر این صورت، احتمال پیگرد قانونی برای وی وجود دارد. در همین حال، پروژه در حال همکاری با Security Alliance و چندین صرافی معتبر جهت بازیابی وجوه است.

واکنش تند جامعه به مدیریت پروژه

واکنش کاربران در شبکه‌های اجتماعی به این حادثه بسیار انتقادی بوده است. بسیاری از کاربران، پروژه را به ضعف مدیریتی متهم کردند.

یکی از کاربران با کنایه نوشت:

«همون توکن‌هایی که نمی‌تونستید به جامعه بدید… راه خوبی برای خروج از پروژه بود، بفروشید و برید.»

کاربر دیگری پرسید چرا همیشه این‌گونه حملات روی ایردراپ‌های مربوط به جامعه تأثیر می‌گذارد اما دستمزد تیم پروژه را شامل نمی‌شود.

ایردراپ جنجالی ZKsync؛ از توزیع بحث‌برانگیز تا حمله سایبری

ایردراپ پروژه ZKsync که در ژوئن ۲۰۲۴ راه‌اندازی شده بود، در ابتدا با مشکلات زیادی مواجه شد. این طرح با عرضه ۲۱ میلیارد توکن آغاز شد، اما به دلیل ضعف در فیلتر حملات سیبیل (Sybil) و شیوه ناعادلانه توزیع، مورد انتقاد شدید کاربران قرار گرفت. حادثه اخیر نیز آتش انتقادها نسبت به نحوه مدیریت توکن‌ها و مسائل امنیتی این پروژه را شعله‌ورتر کرده است.