ZKsync遭遇严重安全漏洞：1.11亿枚ZK代币被盗事件深度解析

近期，加密行业似乎陷入了“水逆”期，安全事件频发。而就在4月15日晚间，曾被誉为以太坊Layer 2“四大天王”之一的ZKsync再次成为焦点，其项目代币发生了一起严重的安全事件。然而，令人惊讶的是，这一问题并非由项目方首先披露。

据社区成员透露，昨晚21:00，有人发现ZKsync在链上凭空铸造了1.1亿枚代币，并已通过多个交易所出售了其中约6600万枚代币。而根据官方此前公布的代币解锁计划，团队和投资者的代币仍处于锁定状态。

受此消息影响，ZK代币价格在半小时内暴跌，最低触及0.03972 USDT，较此前水平几乎腰斩。韩国交易所Bithumb随即发布公告称发现ZK存在安全问题，并暂停了ZK的充提业务以维持市场稳定。与此同时，ZKsync官方在Discord平台回应称正在展开调查。

当社区开始猜测是否为项目方主动增发代币作恶时，ZKsync发布了一份公告：

经调查，此次事件是由于三个空投分发合约的管理员账户密钥泄露，导致攻击者调用了sweepUnclaimed()函数，从空投分配合约中铸造了约1.11亿枚未申领的ZK代币。此次攻击使流通中的代币供应量增加了约0.45%，价值约为500万美元。但需要强调的是，此次攻击仅涉及ZK代币空投分配合约，ZKsync协议、ZK代币合约、所有三个治理合约以及所有活跃的代币上限铸币功能均未受到影响。我们正在与相关交易所协调处理，并建议攻击者归还资金以避免法律责任。

目前调查仍在进行中，稍后我们将公布详细更新信息。

实际被盗时间可追溯至两天前

然而，官方的解释并未完全打消社区疑虑。链上数据显示，黑客早在4月13日20:00（UTC+8）就已经从ZK代币空投分配合约中铸造了1.11亿枚代币，并迅速通过跨链转移和抛售的方式套现。截至目前，该黑客账户中仅剩约4468万枚ZK代币，价值约212万美元，但仍占总代币供应量的0.34%。

黑客攻击成功的时间可追溯至4月13日

由此可见，昨晚ZK代币价格的大幅下跌不仅源于黑客抛售，更因被盗事件曝光引发了社区恐慌性抛售。尽管当前ZK价格已回升至0.045 USDT上方，但一个关键问题仍悬而未决：空投代币早在两天前便已被盗，为何直到社区爆料后才被发现？ZKsync究竟是真不知情，还是为避免恐慌而刻意隐瞒？若事实证明项目方确实未能及时察觉，那么这个曾经备受瞩目的明星项目显然已经陷入管理混乱。

此外，社区普遍推测，此次事件可能涉及内部人员监守自盗——毕竟，空投合约管理员账户密钥为何会由单一账户控制？同时，失窃资金能否被追回或冻结，也成为关注焦点。这些问题仍有待团队进一步解答。

ZKsync终局：英雄陨落还是草台班子？

这起事件再次暴露了去中心化系统中中心化权限的风险。尽管智能合约技术本身具有高度安全性，但管理员账户访问权限的安全问题同样至关重要，不可忽视。

耐人寻味的是，就在黑客还在疯狂抛售代币之际，ZKsync创始人却在X平台自信宣称：“此次攻击事件中，项目代码并未泄漏，仅是管理员密钥遭泄露，这就是为什么ZK代表终局。”

长期以来，ZK验证技术一直被认为是比乐观性证明（Optimistic Rollup）更具安全性的解决方案，甚至被视为以太坊Layer 2的最终形态，即“Endgame”。然而，这次代币被盗事件虽然未涉及核心协议，但对空投分配合约的保护措施竟如此薄弱，不禁让人怀疑这座“高科技大厦”的基础是否稳固。

面对社区质问“作为ZK领域的领导者之一，为何未能预见此类攻击”，ZKsync创始人竟然回应称“无法预知黑天鹅事件”。然而，权限账户密钥被盗是区块链领域最常见的攻击方式之一，类似于网络钓鱼攻击。ZKsync未能提前加强防护，反而将责任推给“黑天鹅”，充分暴露了团队安全意识的不足。

另一方面，ZKsync的实际应用表现也颇为堪忧。根据DeFiLlama数据，ZKsync当前总锁仓价值（TVL）仅为5529万美元，排名跌至第52位；其24小时链上收入更是低至2178美元，自2024年9月以来每日收入始终低于5000美元。相比之下，竞争对手Arbitrum的日收入仍保持在1万美元以上。如今的ZKsync已成为名副其实的“鬼链”。

ZKsync正在迈向所谓的“Endgame”，但这并非电影中超级英雄战胜敌人的完美结局，而是玩家因技术失误而迎来的游戏黑屏终局。然而，在彻底失败之前，希望ZKsync能够采取有效措施，挽救那些深陷其中的投资者。