Retour sur le fiasco de l'airdrop zkSync : 111 millions de $ZK volés, chute de 15% en 5 jours

Début 2025, l’airdrop du $ZK de zkSync aurait dû être un moment de célébration pour l’écosystème Layer 2. Résultat ? Un incident de sécurité ultra gênant est survenu en avril.

Les beaux côtés de l’airdrop

De juin dernier à janvier de cette année, zkSync a alloué 17,5 % de l’offre totale de jetons (soit 3,675 milliards de $ZK) aux utilisateurs précoces. Les critères d’éligibilité étaient assez stricts :

• Avoir interagi avec au moins 10 smart contracts non-token sur zkSync Era
• Avoir effectué au moins 5 transactions via paymaster
• Avoir tradé plus de 10 tokens ERC-20 différents sur un DEX
• Avoir fourni de la liquidité DeFi ou possédé le NFT Libertas Omnibus

Au final, plus de 690 000 portefeuilles étaient éligibles. Niveau décentralisation, c’est plutôt pas mal.

La faille révélée

Et puis en avril, ça a explosé. Un attaquant, via une clé admin compromise, a appelé la fonction sweepUnclaimed() et a pu frapper 111 millions de $ZK non réclamés, pour une valeur d’environ 5 millions de dollars à l’époque.

Point clé : Seul le contrat d’airdrop a été affecté, le protocole principal et les fonds des utilisateurs n’ont pas été impactés. Mais ce n’est pas tout : le marché a réagi immédiatement, le $ZK a plongé de 15 à 20 %.

Situation actuelle et suites

Même si l’incident de sécurité a laissé une cicatrice à zkSync, le projet reste important pour la scalabilité d’Ethereum. L’équipe a annoncé un renforcement des audits de sécurité et la poursuite du développement de l’écosystème.

En résumé : L’airdrop en lui-même a été correctement exécuté, mais il y avait une faille dans la sécurité. C’est un piège classique pour les projets Layer 2 : trouver l’équilibre entre expansion rapide et protection n’est pas évident.