O fiasco do airdrop da zkSync: 111 milhões de $ZK roubados, queda de 15% em 5 dias

No início de 2025, o airdrop de $ZK da zkSync deveria ter sido um momento de celebração para o ecossistema Layer 2. E o que aconteceu? Em abril surgiu um incidente de segurança extremamente embaraçoso.

O lado brilhante do airdrop

Entre junho do ano passado e janeiro deste ano, a zkSync distribuiu 17,5% do fornecimento total de tokens (3,675 mil milhões de $ZK) aos utilizadores iniciais. Os critérios para receber eram bastante rigorosos:

• Era necessário interagir com pelo menos 10 contratos inteligentes não relacionados a tokens na zkSync Era
• Realizar pelo menos 5 transacções utilizando paymaster
• Trocar mais de 10 tipos de tokens ERC-20 numa DEX
• Fornecer liquidez em DeFi ou possuir o NFT Libertas Omnibus

No final, mais de 690.000 carteiras cumpriram os requisitos. À primeira vista, pareceu bastante descentralizado.

A vulnerabilidade exposta

Então, em abril, tudo explodiu. Um atacante, recorrendo a uma chave de administrador comprometida, chamou a função sweepUnclaimed() e cunhou do nada 111 milhões de tokens $ZK não reclamados, avaliados na altura em cerca de 5 milhões de dólares.

Ponto chave: apenas o contrato do airdrop foi afetado, o protocolo principal e os fundos dos utilizadores ficaram ilesos. Mas isso não foi suficiente — a reação do mercado foi imediata, com o $ZK a desvalorizar entre 15-20%.

Situação atual e próximos passos

Apesar do incidente de segurança ter deixado marcas na zkSync, o projeto mantém a sua importância no escalonamento do Ethereum. A equipa anunciou o reforço das auditorias de segurança e a continuação do desenvolvimento do ecossistema.

Resumo: O airdrop em si foi executado de forma razoável, mas houve uma falha na defesa de segurança. Este é um problema comum nos projetos Layer 2 — é difícil equilibrar crescimento rápido com proteção adequada.