近日,区块链安全公司PeckShield监测到,ZKSync生态系统遭遇重大安全漏洞攻击。攻击者通过入侵管理账户密钥,非法铸造了约1.11亿枚ZK代币(ZKS)。其中,170万枚代币被跨链桥接到以太坊主网,并迅速兑换为稳定币USDC,引发市场剧烈震荡。
据知情人士透露,此次攻击始于攻击者对ZKSync的“未认领代币池”发起攻击,该池原本用于空投分配。由于合约漏洞,攻击者得以绕过验证机制,将部分代币通过跨链桥转出。这一行为暴露了Layer2扩容方案在安全性上的潜在风险。
受事件影响,韩国加密货币交易所Bithumb、韩国Korbit等平台迅速采取行动,宣布暂停ZK代币的交易与提币功能。Bithumb在公告中表示:“为保护用户资产安全,我们将持续关注事件进展,并在系统修复后恢复服务。”
与此同时,ZKSync官方在社交媒体X(前Twitter)发布声明,承认漏洞存在,并强调核心协议与治理合约未受影响。团队表示已修复漏洞,并呼吁攻击者归还资金:“我们鼓励攻击者联系security@zksync.io,协商归还资金,以避免法律风险。”
尽管ZKSync团队试图安抚市场情绪,但ZK代币价格仍遭遇重挫。根据链上数据,攻击发生后24小时内,ZKS价格一度暴跌超40%,市值蒸发数亿美元。
行业观察人士指出,此次事件再次凸显Layer2协议的安全隐患。区块链安全专家李明(化名)表示:“跨链桥作为价值转移的关键节点,其安全性直接关系到整个生态的信任基础。开发者需加强合约审计,而用户则应谨慎对待新代币的流动性风险。”
目前,ZKSync正与多家交易所合作追踪被盗资金流向。PeckShield的监测显示,部分代币已被分散至多个地址,增加了追回难度。
对于普通用户,安全机构建议:
- 暂停与涉事代币相关的交易活动,等待官方进一步通知;
- 审查个人钱包的跨链记录,确认资产安全;
- 关注Layer2项目的漏洞披露,优先选择经过多轮审计的协议。
此次事件或将成为Layer2生态安全建设的转折点,推动行业对智能合约漏洞的防御体系进行系统性升级。
根据知识库信息,攻击者首先利用ZKSync的漏洞铸造了1.11亿枚ZK代币(文档2),随后将其中约170万美元的ZK代币通过跨链桥转移到以太坊主网(文档3)。具体步骤包括:
1. 利用漏洞铸造代币:攻击者入侵ZKSync的管理账户,违规调用空投合约,从“未认领代币池”中生成大量ZK代币;
2. 选择跨链桥转移:通过ZKSync与以太坊主网之间的跨链桥(如Layer-2扩容方案集成的桥梁,文档4提到1inch曾集成ZKSync)将代币转出;
3. 兑换资产:将ZK代币兑换为USDC等稳定币(如文档1提到的DAI转USDC模式),以降低被追踪风险。
---
主要原因包括:
- 流动性更高:以太坊主网的交易市场更成熟,稳定币(如USDC)的流动性远高于ZKSync生态代币;
- 规避平台风控:ZKSync作为二层网络,可能有更严格的资金监控机制,而主网相对匿名性较强;
- 套现需求:攻击者需将代币快速兑换为通用资产,跨链至主网后可通过中心化交易所或场外交易脱手(文档3提到攻击者将代币桥接后“连同其他资产”操作)。
---
事件导致多家交易所紧急下架ZK代币,例如韩国Bithumb等平台暂停ZK代币交易(文档3)。原因包括:
- 防止用户损失:ZK代币因供应量被恶意增发而大幅贬值,交易所需避免用户继续交易受冲击的资产;
- 合规风险:交易所若未及时下架,可能因涉及违规代币交易面临法律追责;
- 市场信任危机:ZKSync生态安全漏洞引发用户对Layer-2协议的质疑,交易所需维护自身平台稳定性(文档5提到资金仍滞留攻击者地址,进一步加剧市场担忧)。
相关攻略
近期热点
