Katman-2 Ethereum ölçeklendirme protokolü zkSync 15 Nisan Salı günü airdrop kampanyası esnasında saldırıya uğradı. Saldırganlar protokole ait yönetici cüzdanını hack’leyerek 5 milyon dolar değerinde ZK token üretti ve zimmetine geçirdi.
Saldırı, zkSync’in airdrop süreçlerini yöneten akıllı sözleşmelerdeki “sweepUnclaimed()” adlı bir işlevin istismarı yoluyla gerçekleşti. Bu işlev normalde talep edilmeyen ZK token’larını geri çekmek için tasarlanmıştı. Ancak saldırgan üç farklı airdrop sözleşmesinden toplamda 111 milyon ZK token basarak bu işlevi suistimal etti. Bu miktar, toplam token arzının yaklaşık yüzde 0,45’ine denk geliyor.
Olayın ardından zkSync geliştirici ekibi, güvenlik ortağı SEAL ile birlikte bir kurtarma operasyonu başlattı. Ekipten yapılan açıklamada, saldırının yalnızca yönetici cüzdan ile sınırlı olduğu ve kullanıcı fonlarının doğrudan etkilenmediği belirtildi. Ayrıca, “sweepUnclaimed()” işlevinin devre dışı bırakıldığı ve sistemin başka bir açık barındırmadığı vurgulandı.
ZK fiyatı dakikalar içinde çakıldı
ZKsync, sıfır bilgi toplamaları adı verilen bir teknoloji kullanarak ana katman işlemlerini toplu olarak işleyen bir Ethereum katman-2 protokolü. ZK token ise protokolün yönetişim token’ı. Saldırının ardından ZK token fiyatında büyük bir volatilite yaşandı. CoinMarketCap verilerine göre, ZK token olay sonrası dakikalar içinde yüzde 18 değer kaybederek 0,040 dolara kadar geriledi. Ancak daha sonra toparlanarak 0,047 dolar seviyelerine ulaştı. ZK token son 24 saatte yüzde 4’ün üzerinde bir düşüş yaşadı ve 0,046 dolar seviyesine ulaştı.
Bu olay, yalnızca zkSync özelinde değil, genel olarak Katman-2 çözümlerinde güvenliğin ne kadar kritik olduğunu bir kez daha gösterdi. Yönetici seviyesindeki erişimlerin nasıl yapılandırıldığı, airdrop sistemlerinin nasıl denetlendiği ve akıllı sözleşme işlevlerinin kötüye kullanım ihtimalleri sektör genelinde yeniden değerlendiriliyor.
21 Şubat 2025’te ise kripto para borsası Bybit, şimdiye kadarki en büyük kripto saldırılarından birine maruz kalmıştı. Kuzey Kore bağlantılı Lazarus Grubu hacker’ları, Bybit’in Ethereum soğuk cüzdan altyapısındaki güvenlik açıklarını istismar ederek yaklaşık 401.000 ETH (yaklaşık 1,5 milyar dolar) çaldı. Bybit yaptığı açıklamada, kullanıcı fonlarının güvende olduğunu ve kayıpların şirket rezervlerinden karşılanacağını belirtmişti.
Bu makale yatırım tavsiyesi veya önerisi içermemektedir. Her yatırım ve alım satım hareketi risk içerir ve okuyucular karar verirken kendi araştırmalarını yapmalıdır.
