El fiasco del airdrop de zkSync: se robaron 111 millones de $ZK y cayó un 15% en 5 días

A principios de 2025, el airdrop de $ZK de zkSync debería haber sido un momento de celebración para el ecosistema Layer 2. ¿El resultado? En abril ocurrió un incidente de seguridad extremadamente embarazoso.

La cara brillante del airdrop

Entre junio del año pasado y enero de este año, zkSync asignó el 17,5% del suministro total de tokens (3.675 millones de $ZK) a los usuarios tempranos. Los requisitos para ser elegible eran bastante estrictos:

• Haber interactuado al menos con 10 contratos inteligentes distintos (que no fueran de tokens) en zkSync Era
• Haber realizado al menos 5 transacciones usando paymaster
• Haber operado más de 10 tipos diferentes de tokens ERC-20 en un DEX
• Haber proporcionado liquidez en DeFi o poseer el NFT Libertas Omnibus

Al final, más de 690.000 monederos cumplieron los requisitos. Aparentemente, la distribución era bastante descentralizada.

La vulnerabilidad que salió a la luz

Y entonces, en abril, explotó todo. Un atacante, utilizando una clave de administrador comprometida, llamó a la función sweepUnclaimed() y acuñó de la nada 111 millones de tokens $ZK no reclamados, valorados en ese momento en unos 5 millones de dólares.

Punto clave: solo se vio afectado el contrato del airdrop, el protocolo principal y los fondos de los usuarios permanecieron seguros. Pero no fue suficiente: la reacción del mercado fue inmediata y el $ZK se desplomó entre un 15% y un 20%.

Situación actual y siguientes pasos

Aunque este incidente de seguridad dejó una cicatriz en zkSync, el proyecto sigue siendo importante para la escalabilidad de Ethereum. El equipo ha anunciado que reforzará las auditorías de seguridad y continuará impulsando el desarrollo del ecosistema.

Resumen: La ejecución del airdrop fue aceptable, pero la defensa de seguridad tenía vulnerabilidades. Es un problema común en proyectos Layer 2: es difícil equilibrar la rápida expansión con una protección adecuada.