Polémique autour de l'airdrop $ZK de zkSync : distribution de 3,75 milliards de tokens et révélations sur la faille de sécurité d'avril

Taille de l’airdrop et seuil de participation

Pour son airdrop de $ZK lancé en 2025, zkSync a alloué 17,5 % de l’offre totale, soit environ 3,75 milliards de tokens. Mais ce “festin” n’est pas accessible à tous : Matter Labs a fixé des conditions de participation particulièrement strictes.

Selon le snapshot du 24 mars, seuls 695 000 portefeuilles ont réussi à remplir les critères d’éligibilité à l’airdrop. Les exigences précises incluent :

• Interagir avec au moins 10 smart contracts non liés à des tokens sur zkSync Era
• Effectuer au moins 5 transactions à l’aide de paymaster
• Échanger au moins 10 tokens ERC-20 différents sur un DEX
• Fournir de la liquidité à des protocoles DeFi
• Détenir le NFT Libertas Omnibus

En d’autres termes, il s’agit d’une récompense pour les vrais utilisateurs, et non d’un airdrop “dans le vide”.

Fenêtre et procédure de réclamation

Du 17 juin au 3 janvier, les adresses éligibles peuvent réclamer leurs tokens via le portail officiel claim.zknation.io. Tout le processus comprend quatre étapes : connexion du portefeuille, vérification de l’adresse, délégation des droits de vote et confirmation de la transaction. Cela semble simple, mais d’importants risques se cachent derrière cette apparente facilité.

Effondrement sécuritaire d’avril : 111 millions de tokens volés

Rien n’est jamais facile. En avril, le smart contract de l’airdrop zkSync a subi une faille de sécurité critique. Un attaquant, exploitant une clé administrateur compromise, a utilisé la fonction sweepUnclaimed() pour frapper illégalement environ 111 millions de $ZK tokens non réclamés, pour une valeur d’environ 5 millions de dollars.

Il ne s’agissait pas d’une attaque flash loan “subtile”, mais d’une exploitation flagrante d’une backdoor — conséquence directe de la compromission des droits administrateur.

Réaction du marché

Après l’annonce, le prix du $ZK a chuté de 15 à 20 %. Le sentiment de marché est passé en un instant de “projet star du Layer 2” à “risque de sécurité”. Heureusement, la faille a été strictement confinée au contrat d’airdrop : le protocole principal de zkSync et les fonds des utilisateurs n’ont pas été affectés.

Réflexions à suivre

Cet incident met en lumière deux problématiques clés :

1. Vulnérabilité de la gestion des droits — Même les projets majeurs présentent encore de sérieuses failles dans la protection des clés admin
2. Complexité de la conception des airdrops — Plus le seuil de participation est élevé et la logique du contrat complexe, plus la surface de risque grandit

Malgré tout, zkSync reste un acteur important de l’écosystème Layer 2, et sa trajectoire de développement à long terme n’est pas remise en cause. Cet airdrop a certes exposé des faiblesses, mais a aussi favorisé la décentralisation et la participation de masse — à condition que les mesures de sécurité suivent par la suite.