昔日明星 ZKsync 遭遇安全危机：是终局还是黑屏？

最近加密货币行业不太平，安全事件接连发生。这不，曾经风光无限的 Layer 2 项目 ZKsync 也“中招”了。

4月15日晚间，有社区成员爆料 ZKsync 增发了 1.1 亿枚代币，并且已经在链上出售了 6600 万枚。要知道，按照官方的代币解锁计划，团队和投资者的代币还处于锁定状态呢！

推广

币安交易所

新用户注册充值交易，享空投奖励 首次交易比特币享7天价格保护 立即下载APP 扫描二维码下载官方应用，开启交易之旅 全球领先交易平台 安全可信赖 500 交易对 99.9% 稳定性 投资需谨慎 | 广告

消息一出，ZK 代币价格应声下跌，半小时内跌破 0.04 美元。韩国交易所 Bithumb 紧急暂停了 ZK 的充提业务，表示要先确保市场稳定。而 ZKsync 官方也赶紧在 Discord 上回应，说正在调查。

正当大家猜测是不是项目方自己搞事情的时候，ZKsync 发布了一则公告，解释说这次安全事件是因为三个空投分发合约的管理账户密钥泄露，黑客利用这个漏洞铸造了大约 1.11 亿枚未被申领的 ZK 代币，导致流通中的代币供应量增加了约 0.45%，价值约 500 万美元。不过官方强调，这次攻击只影响了空投分配合约，ZKsync 协议、ZK 代币合约以及其他重要的合约都没有受到影响。他们还表示正在与交易所协调恢复工作，并建议黑客退还资金，以免承担法律责任。

黑客早在 4 月 13 日就攻击成功

但社区似乎并不买账。链上数据显示，黑客早在 4 月 13 日晚上 8 点（UTC 8）就已经从 ZK 代币空投分配合约中铸造了 1.11 亿枚代币，并且开始不断地跨链转移和出售。截至目前，该账户还剩下约 4468 万枚 ZK，价值约 212 万美元，仍然占代币供应量的 0.34%。

所以，我们可以初步得出结论，昨晚 ZK 代币价格下跌，主要还是因为被盗事件曝光，引起了社区的恐慌性抛售。

虽然 ZK 代币价格现在已经回升到 0.045 美元上方，但问题来了：空投代币明明两天前就被盗了，为什么现在才被曝光？ZKsync 之前是真不知情，还是为了避免社区恐慌而故意隐瞒？如果 ZKsync 真的是通过社区渠道才知情并展开调查，那只能说这个曾经的天王级项目背后也是个“草台班子”，被偷家了还不知道。

社区里甚至有人怀疑，这次事件是不是内部人员监守自盗？难道空投合约的管理账户密钥是由一个人保管的？而且，失窃的资金该如何处理？能否成功冻结或者进行回购？这些问题都有待 ZKsync 团队解答。我们会持续关注事件的进展。

这次事件也暴露了在去中心化系统中，中心化管理员权限带来的风险。强大的账户访问控制和智能合约安全同等重要，管理员密钥的安全性会严重影响加密项目的安全性，不应该分开来看。

然而，就在大家议论纷纷，黑客还在高兴地卖币的时候，ZKsync 创始人还在 X 平台上自信地表示，“这次攻击事件，项目代码没有被泄露，只是管理员密钥泄露，这就是为什么 ZK 是终局。”

ZK 验证等技术一直被认为是比乐观性证明（Op）更安全的，一度被认为是Layer 2的最终形态。但这次代币被盗事件，暴露了 ZKsync 在空投分配合约保护方面的不足，就像在一座先进的高科技大厦里填充了稻草。

面对社区“作为 ZK 领域的领导者之一，为什么没有预见到这次攻击”的质问，ZKsync 创始人竟然回应“无法预见到黑天鹅”。权限账户密钥被盗对区块链项目来说是最常见的攻击方式，就像用户每天面对的网络钓鱼一样。ZKsync 没有预先加强安全措施，反而将一切定义为黑天鹅，也反映出团队的安全意识薄弱。

ZKsync 在实际应用方面又表现如何呢？根据 DeFiLlama 的数据，ZKsync 当前的 TVL 为 5529 万美元，排名第 52 位，同时其 24 小时链上收入仅 2178 美元，从 2024 年 9 月开始，每日收入就低于 5000 美元。相比之下，Arbitrum 每日收入仍然超过 1 万美元。ZKsync 已经成了一个名副其实的“鬼链”。

ZKsync 正在走向 Endgame，但这并不是电影里超级英雄战胜大反派后的完美结局，而是游戏里因为太菜而被干掉的黑屏结局。在被彻底干掉之前，希望 ZKsync 能够先救救那些被套牢的投资者们。