事件始末:管理员账户漏洞引发巨额损失
据ZKsync官方声明,黑客利用单一管理员账户的私钥漏洞,调用了空投合约中的“sweepUnclaimed()”函数,非法铸造了1.11亿个ZK代币,占总供应量的0.45%。这些代币随后被抛售,导致ZK代币价格从0.047美元一度跌至0.039美元,交易量激增143%,达到8700万美元。尽管事件仅限于空投合约,未波及核心协议、代币合约或治理结构,社区对安全管理的质疑声浪高涨。有用户在X平台上批评ZKsync未能在空投分发环节设置更严格的权限管理,称“未认领代币为何仍保留高权限入口?”
ZKsync安全团队迅速冻结了攻击路径,并与Security Alliance(SEAL 911)及多家交易所合作,追踪被盗资金的流向。团队还公开呼吁攻击者通过security@zksync.io联系,协商归还资金,否则将面临法律追责。截至目前,攻击者仍持有大部分被盗代币,恢复工作仍在进行中。
创始人回应:核心协议安全,调查与恢复计划并行
ZKsync的创始人兼Matter Labs首席执行官Alex Gluchowski在事件发生后发表声明,强调“ZKsync协议、代币合约及治理结构未受任何影响,用户资金始终安全。”他表示,此次攻击源于单一管理员账户的密钥泄露,而非系统核心代码或合约漏洞。Gluchowski承诺,团队将在4月17日前发布详细的事后分析报告,并制定明确的恢复计划,以恢复社区和投资者的信心。
市场与社区反应:Layer2项目承压
此次攻击导致ZK代币价格短期内暴跌,市场情绪受到明显冲击。据AiCoin数据,ZK代币目前价格为0.05美元,市值约1.73亿美元,24小时交易量激增219.72%,达到1.02亿美元。尽管价格在事件后略有回升,但仍较日内高点下跌约12%,反映了投资者对新增代币流通的担忧。
社区反应尤为激烈。部分用户在X平台上表达了对ZKsync空投分发机制的不满,认为项目在2024年6月空投时未能有效过滤Sybil攻击者,已埋下安全隐患。还有用户质疑去中心化网络中管理员账户的中心化权限设计,认为这与区块链的去中心化理念相悖。
更广泛地看,此事件加剧了Layer2项目在2025年的安全压力。根据Immunefi数据,2025年前两个月,加密行业因黑客攻击损失近16亿美元,接近2024年全年总和。ZKsync的遭遇并非孤例,近期其他Layer2项目如EraLend也曾因合约漏洞损失数百万美元。
未来展望:技术升级与生态信心重建
尽管面临挑战,ZKsync在Layer2领域的地位依然稳固。作为以零知识证明(ZK-rollup)技术为核心的扩容解决方案,ZKsync凭借低成本、高速交易的优势,吸引了超5亿美元的总锁仓价值(TVL)。其生态系统涵盖DeFi、游戏和AI应用,近期还推出了BoojumVM,目标实现每秒1万笔交易,交易成本低至0.0001美元。
为应对此次危机,ZKsync计划通过技术与治理双管齐下,重建投资者信心。短期内,团队将优先恢复被盗资金,并优化空投合约的安全设计。长期来看,ZKsync的去中心化治理改革和多签名钱包的引入有望降低中心化风险,进一步巩固其在Layer2市场的竞争力。
