Il token ZK ha sperimentato un brusco calo di prezzo lunedì dopo che ZKsync ha confermato una violazione della sicurezza che ha coinvolto circa $5 milioni in token airdrop non reclamati.
L'exploit, attribuito ad una chiave amministrativa compromessa, ha provocato un rapido declino del 15-20% nel valore di ZK intorno alle 13:50 UTC, con il token in calo di circa l'11% al momento della stampa, secondo CoinMarketCap.
ZKsync, la soluzione di scalabilità Layer 2 su Ethereum sviluppata da Matter Labs, ha chiarito che l'incidente è stato isolato al contratto dell'airdrop e non ha influenzato il protocollo centrale di ZKsync, il contratto del token ZK, o i fondi degli utenti.
La violazione ha specificamente preso di mira i token non reclamati rimasti nel pool di allocazione dell'airdrop, che sono stati svuotati attraverso accessi non autorizzati a credenziali amministrative privilegiate.
"Si tratta di un incidente isolato causato da una chiave compromessa e confinato al contratto di airdrop del Token ZK", ha dichiarato il team di sicurezza di ZKsync in un post su X. Il team ha avviato un'indagine a tutto campo e si è impegnato a pubblicare un'analisi dettagliata post-mortem una volta completata la revisione interna.
La violazione ha riacceso le preoccupazioni riguardo alle pratiche di sicurezza relative ai contratti di distribuzione dei token, in particolare quelli che coinvolgono privilegi controllati dall'amministrazione.
Negli ultimi anni, vulnerabilità simili sono state sfruttate in altri airdrop di alto profilo e piattaforme DeFi, mettendo in evidenza la necessità di una gestione delle chiavi più robusta e protocolli di auditing degli smart contract.
Il token ZK è stato lanciato nel giugno 2024 come parte di un airdrop molto atteso e pubblicizzato, destinato a ricompensare gli utenti e i contributori del sistema ZKsync.
Sebbene il lancio abbia segnato un'importante pietra miliare per Matter Labs, non è stato senza polemiche. Il processo di distribuzione ha attirato critiche da parte dei membri della comunità per la presunta mancanza di resistenza a Sybil e meccanismi di allocazione considerati ingiusti.
ZKsync ha una fornitura totale di token di 21 miliardi di ZK, con una porzione destinata allo sviluppo dell'ecosistema, ai premi per la comunità e alla governance del protocollo. Nonostante questo exploit, ZKsync ha sottolineato che nessun token aggiuntivo è a rischio e che l'infrastruttura smart contract sottostante del token ZK rimane intatta.
Mentre l'indagine continua, l'incidente serve da ammonimento ai rischi persistenti coinvolti negli airdrop di token e all'importanza critica della robusta sicurezza operativa negli ecosistemi decentralizzati.