Gần đây, ngành công nghiệp này đang trải qua hiện tượng sao Thủy nghịch hành tập thể, với các sự cố an ninh xảy ra thường xuyên.
Vào tối ngày 15 tháng 4, ZKsync, từng là một trong “Tứ đại thiên vương” của L2, đã bị phát hiện có sự cố bảo mật mã thông báo của dự án, nhưng thông tin này không được bên dự án tiết lộ trước. Vào 21:00 đêm qua, các thành viên cộng đồng tiết lộ rằng Zksync đã in 110 triệu token trên chuỗi và đã bán 66 triệu token trên chuỗi, nhưng theo thông tin mở khóa token, token của nhóm và nhà đầu tư vẫn bị khóa.
Dưới ảnh hưởng của tin tức này, ZK đã giảm xuống dưới 0,4 USDT trong vòng nửa giờ, đạt mức thấp nhất là 0,03972 USDT. Sàn giao dịch Bithumb của Hàn Quốc cho biết họ đã phát hiện ra các vấn đề bảo mật với ZK và đã tạm thời dừng dịch vụ gửi và rút tiền ZK cho đến khi thị trường ổn định. Các quan chức của ZKsync cũng trả lời trên Discord chính thức vào thời điểm này rằng một cuộc điều tra đang được tiến hành.
Đúng lúc cộng đồng đang suy đoán rằng chủ sở hữu dự án đang tích cực phát hành thêm token, ZKsync đã đưa ra thông báo như sau:
Sau khi điều tra, người ta phát hiện ra rằng sự cố bảo mật này là do rò rỉ khóa tài khoản quản trị viên của ba hợp đồng phân phối airdrop. Kẻ tấn công đã gọi hàm sweepUnclaimed() và đúc khoảng 111 triệu token ZK chưa được yêu cầu từ hợp đồng aidrop, làm tăng nguồn cung token lưu hành khoảng 0,45%, trị giá khoảng 5 triệu đô la Mỹ. Tuy nhiên, cuộc tấn công này chỉ liên quan đến hợp đồng phân phối token ZK. Giao thức ZKsync, hợp đồng token ZK, cả ba hợp đồng quản trị và tất cả các chương trình đúc token đang hoạt động đều không bị ảnh hưởng bởi sự cố này. Các nỗ lực phục hồi hiện đang được phối hợp với sàn giao dịch, khuyên kẻ tấn công trả lại tiền và tránh trách nhiệm pháp lý.
Cuộc điều tra vẫn đang được tiến hành và thông tin chi tiết sẽ được công bố sau.
Các token thực sự đã bị đánh cắp 2 ngày trước
Tuy nhiên, lời giải thích chính thức như vậy đã không thuyết phục được cộng đồng - theo dữ liệu trên chuỗi, tin tặc đã đúc 111 triệu token từ hợp đồng phân phối token ZK airdrop vào lúc 20:00 (UTC+ 8) ngày 13 tháng 4, sau đó bắt đầu chuyển và bán chúng trên các chuỗi. Tính đến thời điểm hiện tại, chỉ còn khoảng 44,68 triệu ZK trong tài khoản, trị giá khoảng 2,12 triệu đô la Mỹ, vẫn chiếm 0,34% nguồn cung token.
Tin tặc đã tấn công thành công vào ngày 13 tháng 4
Do đó, chúng ta có thể đưa ra kết luận sơ bộ rằng, giá token ZK giảm đêm qua không hoàn toàn do tin tặc bán tháo mà chủ yếu là do vụ bê bối trộm cắp bị rò rỉ khiến cộng đồng hoảng loạn bán tháo.
Mặc dù giá token ZK hiện đã phục hồi lên trên 0,045 USDT, nhưng điều đáng suy nghĩ là các token được airdrop thực chất đã bị đánh cắp từ lâu, nhưng cộng đồng không tiết lộ lần đầu tiên cho đến tận hai ngày sau đó. ZKsync thực sự không biết về điều này trước đây hay cố tình che giấu để tránh gây bất ổn trong cộng đồng? Nếu ZKsync thực sự biết về điều này thông qua các kênh cộng đồng và tiến hành điều tra, thì người ta không thể không thở dài rằng dự án từng được coi là hàng đầu này thực chất lại được một nhóm nhóm cơ sở hậu thuẫn, những người hoàn toàn không biết rằng ngôi nhà của họ đang bị đánh cắp.
Cộng đồng có lý khi suy đoán liệu vụ việc này có phải là hành vi trộm cắp của một thành viên nội bộ hay không. Có thể là mã khóa tài khoản quản trị hợp đồng airdrop được một người giữ không? Đồng thời, vì sự cố đã xảy ra, vậy số tiền bị đánh cắp sau đó sẽ được xử lý như thế nào? Chúng có thể được đông lạnh hoặc mua lại thành công không? Những câu hỏi này vẫn đang chờ nhóm nghiên cứu trả lời. Odaily Planet Daily sẽ tiếp tục theo dõi và đưa tin về kết quả điều tra cuối cùng.
Kết quả cuối cùng của ZKsync sẽ là gì?
Sự cố này cũng làm nổi bật những rủi ro do quyền quản lý tập trung gây ra trong một hệ thống ban đầu phi tập trung. Kiểm soát quyền truy cập tài khoản chặt chẽ cũng quan trọng như bảo mật hợp đồng thông minh. Tính bảo mật của khóa quản trị viên cũng sẽ ảnh hưởng nghiêm trọng đến tính bảo mật của các dự án tiền điện tử và không nên được thảo luận riêng.
Tuy nhiên, khi các hacker vẫn đang vui vẻ bán coin giữa đám mây nghi ngờ, nhà sáng lập ZKsync đã tự tin tuyên bố trên nền tảng X rằng “mã dự án không bị rò rỉ trong cuộc tấn công này, chỉ có khóa của quản trị viên bị rò rỉ, đó là lý do tại sao ZK là kết quả cuối cùng”.
Các công nghệ như xác minh ZK luôn được quảng cáo là có tính bảo mật tốt hơn so với bằng chứng lạc quan (Op) và từng được coi là hình thức kỹ thuật cuối cùng của Ethereum L2, cụ thể là Endgame. Tuy nhiên, mặc dù vụ trộm token không liên quan đến token của dự án cốt lõi, nhưng các biện pháp bảo vệ cho hợp đồng phân phối airdrop lại quá yếu, giống như những bức tường của một tòa nhà công nghệ cao tiên tiến vẫn còn đầy rơm rạ cổ xưa.
Khi đối mặt với câu hỏi của cộng đồng Là một trong những người đi đầu trong lĩnh vực ZK, tại sao ông không lường trước được cuộc tấn công này?, nhà sáng lập ZKsync đã trả lời một cách trắng trợn rằng không thể lường trước được một con thiên nga đen. Trộm cắp khóa tài khoản được cấp phép là phương pháp tấn công phổ biến nhất đối với các dự án blockchain, giống như các cuộc tấn công lừa đảo mà người dùng phải đối mặt hàng ngày. ZKsync đã không tăng cường các biện pháp bảo mật trước và coi mọi thứ là thiên nga đen, điều này cũng phản ánh nhận thức bảo mật yếu kém của nhóm.
Ngoài ra, ZKsync hoạt động như thế nào trong các ứng dụng thực tế? Theo dữ liệu của DeFiLlama , TVL hiện tại của ZKsync là 55,29 triệu đô la Mỹ, xếp thứ 52. Trong khi đó, doanh thu chuỗi 24 giờ của công ty này chỉ đạt 2.178 đô la Mỹ và doanh thu hàng ngày của công ty này thấp hơn 5.000 đô la Mỹ kể từ tháng 9 năm 2024. Trong khi đó, Arbitrum vẫn tạo ra doanh thu hàng ngày hơn 10.000 đô la Mỹ. ZKsync đã trở thành một “chuỗi ma” thực sự.
ZKsync đang hướng tới Endgame. Đây không phải là cái kết hoàn hảo sau khi siêu anh hùng đánh bại trùm trong phim, mà là cái kết màn hình đen trong game khi người chơi bị giết vì quá yếu. Nhưng trước khi bị tiêu diệt hoàn toàn, tôi hy vọng ZKsync có thể cứu được các nhà đầu tư bị mắc kẹt trước.
