Історія провалу airdrop zkSync: 111 мільйонів $ZK викрадено, за 5 днів падіння на 15%

2025 року на початку року аірдроп $ZK від zkSync мав стати святковим моментом для екосистеми Layer 2. А що сталося? У квітні трапився супернезручний інцидент із безпекою.

Яскрава сторона аірдропу

З червня минулого року до січня цього року zkSync розподілив 17.5% від загальної пропозиції токенів (3.675 мільярда $ZK) для ранніх користувачів. Вимоги для отримання були досить суворі:

• Необхідно було взаємодіяти щонайменше з 10 не-токенними смартконтрактами на zkSync Era
• Виконати мінімум 5 транзакцій через paymaster
• Здійснити торгівлю більше ніж 10 видами ERC-20 токенів на DEX
• Надати DeFi-ліквідність або володіти Libertas Omnibus NFT

У підсумку понад 690 тисяч гаманців відповідали вимогам. Здається, рівень децентралізації був непоганим.

Виявлена вразливість

А потім у квітні вибухнуло. Зловмисник через скомпрометований admin-ключ викликав функцію sweepUnclaimed(), згенерувавши “з повітря” 111 мільйонів незатребуваних $ZK токенів на суму близько 5 мільйонів доларів.

Ключовий момент: вплив був лише на контракт аірдропу, основний протокол і кошти користувачів не постраждали. Але цього було достатньо — ринок відреагував миттєво: $ZK впав на 15–20%.

Поточний стан і подальші дії

Хоча інцидент залишив шрам на zkSync, значення проєкту для масштабування Ethereum зберігається. Команда оголосила про посилення аудиту безпеки та продовження розвитку екосистеми.

Висновок: сам аірдроп пройшов непогано, але захист виявився з дірками. Це типовий підводний камінь Layer 2 проєктів — знайти баланс між швидким масштабуванням і безпекою дуже складно.