El token ZK experimentó una fuerte caída de precio el lunes después de que ZKsync confirmara una brecha de seguridad que involucraba aproximadamente $5 millones en tokens de airdrop no reclamados.
El exploit, adjudicado a una clave administrativa comprometida, condujo a un rápido descenso del 15-20% en el valor de ZK alrededor de las 13:50 UTC, con el token cayendo aproximadamente un 11% al momento de la publicación, según CoinMarketCap.
ZKsync, la solución de escalado Layer 2 de Ethereum desarrollada por Matter Labs, aclaró que el incidente se confinó al contrato de airdrop y no afectó al protocolo central de ZKsync, el contrato del token ZK, o los fondos de los usuarios.
La brecha se dirigió específicamente a tokens no reclamados que permanecían en el pool de asignación del airdrop, que fueron drenados mediante acceso no autorizado a credenciales administrativas privilegiadas.
“Este es un incidente aislado causado por una clave comprometida y confinado al contrato de airdrop del token ZK,” declaró el equipo de seguridad de ZKsync en un comunicado en X. El equipo ha lanzado una investigación a gran escala y se ha comprometido a publicar un análisis detallado post-mortem una vez que su revisión interna esté completa.
La brecha ha reavivado preocupaciones sobre las prácticas de seguridad en torno a los contratos de distribución de tokens, en particular aquellos que involucran privilegios controlados por administradores.
En los últimos años, vulnerabilidades similares han sido explotadas en otros airdrops de alto perfil y plataformas DeFi, destacando la necesidad de una gestión más sólida de llaves y protocolos de auditoría de contratos inteligentes.
El token ZK fue lanzado en junio de 2024 como parte de un airdrop muy esperado y publicitado, destinado a recompensar a los primeros usuarios y contribuyentes dentro del ecosistema de ZKsync.
Aunque el lanzamiento marcó un hito importante para Matter Labs, no estuvo exento de controversia. El proceso de distribución recibió críticas de miembros de la comunidad por su percibida falta de resistencia a Sybil y supuestas mecánicas de asignación injustas.
ZKsync tiene un suministro total de tokens de 21 mil millones de ZK, con una porción reservada para el desarrollo del ecosistema, recompensas comunitarias y gobernanza del protocolo. A pesar de este exploit, ZKsync enfatizó que no hay tokens adicionales en riesgo y que la infraestructura subyacente del contrato inteligente del token ZK sigue intacta.
A medida que la investigación continúa, el incidente sirve como un recordatorio de los riesgos persistentes involucrados en los airdrops de tokens y la importancia crítica de una seguridad operacional robusta en ecosistemas descentralizados.