Polémica por el airdrop de $ZK de zkSync: Distribución de 3.750 millones de tokens y la verdad detrás de la vulnerabilidad de seguridad de abril

Escala del airdrop y requisitos de participación

zkSync, en el airdrop de $ZK lanzado en 2025, ha asignado el 17,5% del suministro total, aproximadamente 3.750 millones de tokens. Pero este “banquete” no es para todo el mundo: Matter Labs ha establecido condiciones de participación bastante estrictas.

Según la instantánea del 24 de marzo, solo 695.000 carteras lograron cumplir con los requisitos del airdrop. Las condiciones específicas incluyen:

• Interactuar con al menos 10 contratos inteligentes no relacionados con tokens en zkSync Era
• Realizar al menos 5 transacciones utilizando paymaster
• Operar al menos 10 tipos diferentes de tokens ERC-20 en un DEX
• Proveer liquidez a protocolos DeFi
• Poseer el NFT Libertas Omnibus

En otras palabras, se trata de una recompensa para usuarios reales, no de un airdrop sin criterio.

Ventana de reclamación y proceso

Desde el 17 de junio hasta el 3 de enero, las direcciones elegibles pueden reclamar sus tokens a través del portal oficial claim.zknation.io. Todo el proceso incluye cuatro pasos: conectar la cartera, verificar la dirección, delegar derechos de voto y confirmar la transacción. Parece sencillo, pero esconde riesgos importantes.

Colapso de seguridad en abril: robo de 111 millones de tokens

No todo fue fácil. En abril, el contrato del airdrop de zkSync sufrió una vulnerabilidad crítica. Los atacantes aprovecharon una clave de administrador comprometida y, mediante la función sweepUnclaimed(), acuñaron ilegalmente unos 111 millones de tokens $ZK no reclamados, valorados en unos 5 millones de dólares.

No se trató de un sofisticado ataque de flash loan, sino de una explotación directa de una puerta trasera: la consecuencia directa de la caída de los privilegios de administrador.

Reacción del mercado

Tras la noticia, el precio de $ZK cayó en picado entre un 15% y un 20%. El sentimiento del mercado pasó de ver el proyecto como una “estrella de Layer 2” a un “riesgo de seguridad”. Sin embargo, afortunadamente, la brecha quedó aislada en el contrato del airdrop, sin afectar al protocolo principal de zkSync ni a los fondos de los usuarios.

Reflexiones posteriores

Este incidente pone de manifiesto dos problemas clave:

1. Vulnerabilidad en la gestión de permisos — Incluso los proyectos líderes aún presentan graves carencias en la protección de claves de administrador.
2. Complejidad en el diseño del mecanismo de airdrop — Cuanto mayores los requisitos, más complejo el contrato y mayor la superficie de riesgo.

A pesar de todo, zkSync sigue siendo un actor clave en el ecosistema Layer 2, y su trayectoria a largo plazo no se altera. El airdrop ha expuesto problemas, pero también ha impulsado la descentralización masiva de usuarios y la participación en el ecosistema, siempre que se refuercen las medidas de seguridad en adelante.