История провала airdrop zkSync: украдено 111 миллионов $ZK, падение на 15% за 5 дней

В начале 2025 года, аирдроп $ZK от zkSync должен был стать праздничным моментом для экосистемы Layer 2. А что в итоге? В апреле произошёл крайне неловкий инцидент, связанный с безопасностью.

Глянцевая сторона аирдропа

С июня прошлого года по январь этого года zkSync распределил 17,5% предложения токенов (3,675 млрд $ZK) среди ранних пользователей. Критерии отбора были довольно строгими:

• Необходимо было взаимодействовать минимум с 10 не-токеновыми смарт-контрактами на zkSync Era
• Совершить минимум 5 транзакций с использованием paymaster
• Провести обмен более чем 10 различных ERC-20 токенов на DEX
• Предоставить ликвидность в DeFi или обладать Libertas Omnibus NFT

В итоге более 690 000 кошельков соответствовали условиям. На вид — хорошая децентрализация.

Обнаруженная уязвимость

А потом в апреле всё взорвалось. Злоумышленник, получив доступ к скомпрометированному админ-ключу, вызвал функцию sweepUnclaimed(), благодаря чему из воздуха было создано 111 миллионов невыданных $ZK токенов, что на тот момент стоило примерно 5 миллионов долларов.

Ключевой момент: пострадал только аирдроп-контракт, основной протокол и пользовательские средства остались в безопасности. Но этого оказалось недостаточно — реакция рынка была стремительной: $ZK упал на 15–20%.

Текущее положение и дальнейшие шаги

Хотя инцидент оставил шрам на репутации zkSync, проект по-прежнему важен для масштабирования Ethereum. Команда пообещала усилить аудит безопасности и продолжать развитие экосистемы.

Итог: сам аирдроп был реализован неплохо, но в линии обороны оказалась брешь. Это типичная проблема для Layer 2-проектов — сложно найти баланс между быстрым ростом и надёжной защитой.