近期行業集體水逆,安全事件頻傳。
4 月 15 日晚間,曾任L2「四大天王」之一的ZKsync 被爆出一起專案代幣安全事件,但資訊並不是專案方最先揭露。昨晚 21: 00 社區成員披露,Zksync 在鏈上印發1.1 億枚代幣,並已在鏈上不斷出售6600 萬枚代幣,但根據代幣解鎖信息,團隊和投資者代幣仍處於鎖定狀態。
受此消息影響,ZK 在半小時內跌破 0.4 USDT,最低觸及 0.03972 USDT。韓國交易所 Bithumb 表示發現ZK 有安全問題,暫時暫停 ZK 充填業務,直到確保市場穩定。 ZKsync 官方此時也在官方Discord 回覆稱正在進行調查。
就在社群猜測這起事件為專案方主動增發代幣作惡時, ZKsync 發佈公告表示:
經調查,此安全事件是因三個空投分發合約的管理員帳戶密鑰洩露而被入侵,攻擊者調用了sweepUnclaimed() 函數,從aidrop 合約中鑄造了約1.11 億枚非申領ZK 代幣,使流通中代幣供應量增長約 0.45% ,價值約 500 萬美元。但這次攻擊僅涉及 ZK 代幣空投分配合約,ZKsync 協議、ZK 代幣合約、所有三個治理合約以及所有活躍的代幣計劃上限鑄幣者均未受到此事件的影響。目前正在與交易所協調恢復工作,建議攻擊者退還資金並避免承擔法律責任。
調查仍在進行中,稍後將公佈詳細更新資訊。
代幣實際被竊時間為 2 天前
然而,官方這樣的解釋無法使社區信服——據鏈上數據,駭客在 4 月 13 日 20: 00 (UTC+ 8)就已經從 ZK 代幣空投分配合約中鑄造了 1.11 億枚代幣,並且隨即開始不斷跨鏈轉移和出售。截至目前該帳戶僅剩約 4,468 萬枚 ZK,價值約 212 萬美元,仍佔代幣供應量的 0.34% 。
駭客在 4 月 13 日就攻擊成功
因此也可得出初步結論,昨晚 ZK 代幣價格下跌並非全由駭客拋售造成,主要是被盜醜聞洩漏,引起了社區恐慌性拋售。
雖然 ZK 代幣價格現已回升到 0.045 USDT 上方,但值得思考的是,空投代幣實際上早已被盜,但卻在兩天后才由社區首次披露,ZKsync 此前是真不知情還是為了避免社區騷亂而故意隱瞞?若 ZKsync 真是透過社群管道才知情並展開調查,那麼也不由感嘆這個曾經的天王級計畫背後也是一群“草台班子”,被偷家了還渾然不覺。
社群合理推測,此事件是否為內部成員的監守自盜,空投合約管理員帳戶密鑰是由一人保管?同時既然事件已經發生,後續失竊資金該如何處理,能否成功凍結或回購?這些問題都有待團隊解答。最終調查結果,Odaily星球日報也將持續追蹤報導。
ZKsync 究竟走向了怎樣的終局?
這次事件也凸顯了在原本去中心化的系統中,中心化管理員權限所帶來的風險。強大的帳戶存取控制與智慧合約安全本身就同樣重要,管理員金鑰的安全性也會嚴重影響加密項目的安全性,不應將其分開而論。
然而,就在疑雲重重,駭客還在高高興興賣幣時,ZKsync 創始人還在 X 平台自信表示,“此次攻擊事件,項目代碼沒有被洩漏,僅是管理員密鑰洩漏,這就是為什麼 ZK 是終局。”
ZK 驗證等技術一直被標榜比樂觀性證明(Op)具有更好的安全性,一度被認為是以太坊L2 最終的技術形態,也就是 Endgame。然而,這次代幣被盜事件雖然未涉及核心項目代幣,但對空投分配合約的保護措施未免太薄弱,彷彿一座先進高科技大廈的牆體裡填充的還是古時蓋房用的稻草。
面對社區「既然作為ZK 領域的領導者之一,為什麼沒有預見到這次攻擊」的質疑時,ZKsync 創始人能大言不慚地回應「無法預見到黑天鵝」。權限帳戶金鑰被盜對區塊鏈項目來說是最普遍的攻擊方式,就如用戶每天面對的網路釣魚,ZKsync 沒有預先加強保護安全措施而將一切定義為黑天鵝,也反映出團隊的安全意識薄弱。
此外,ZKsync 在實際應用方面又表現如何呢?根據DeFiLlama 數據,ZKsync 目前 TVL 為 5,529 萬美元,排名第 52 位,同時其 24 小時鏈收入僅 2,178 美元,從 2024 年 9 月開始每日收入就低於 5,000 美元。相比之下,Arbitrum 每日收入仍超 1 萬美元。 ZKsync 已成名符其實的「鬼鏈」。
ZKsync 正走向 Endgame,這不是電影裡超級英雄大敗 BOSS 後的完美結局,而是遊戲裡因太菜而被幹掉的黑屏結局。但在被徹底幹掉之前,希望 ZKsync 能先救救套牢的投資人。
