1.11 億枚 ZK 代幣突然被盜，ZKsync 的故事要走向終局了？

近期行業集體水逆，安全事件頻發。

4月15日晚間，曾任 L2“四大天王”之一的 ZKsync 被爆出一起項目代幣安全事件，但信息並不是項目方最先披露。昨晚21:00社區成員披露，Zksync 在鏈上印發 1.1 億枚代幣，並已在鏈上不斷出售 6600 萬枚代幣，但根據代幣解鎖信息，團隊和投資者代幣仍處於鎖定狀態。

受此消息影響，ZK在半小時內跌破0.04 USDT，最低觸及0.03972 USDT。韓國交易所Bithumb 表示發現 ZK 存在安全問題，臨時暫停ZK充提業務，直至確保市場穩定。ZKsync官方此時也在官方 Discord 回覆稱正在開展調查。

就在社區猜測此次事件為項目方主動增發代幣作惡時，ZKsync 發佈公告稱：

經調查，此次安全事件是因三個空投分發合約的管理員賬戶密鑰洩露而被入侵，攻擊者調用了 sweepUnclaimed() 函數，從 aidrop 合約中鑄造了約 1.11 億枚非申領 ZK 代幣，使流通中代幣供應量增長約0.45%，價值約500萬美元。但此次攻擊僅涉及ZK 代幣空投分配合約，ZKsync 協議、ZK 代幣合約、所有三個治理合約以及所有活躍的代幣計劃上限鑄幣者均未受到此次事件的影響。目前正在與交易所協調恢復工作，建議攻擊者退還資金並避免承擔法律責任。

調查仍在進行中，晚些時候將公佈詳細更新信息。

代幣實際被盜時間為2天前

然而，官方這樣的解釋無法使社區信服——據鏈上數據，黑客在4月13日20:00（UTC+8）就已經從ZK代幣空投分配合約中鑄造了1.11億枚代幣，並且隨即開始不斷跨鏈轉移和出售。截至目前該賬戶僅剩約4468萬枚ZK，價值約212萬美元，仍佔代幣供應量的0.34%。

黑客在4月13日就攻擊成功

因此也可得出初步結論，昨晚ZK代幣價格下跌並非全由黑客拋售造成，主要是被盜醜聞洩漏，引起了社區恐慌性拋售。

雖然ZK代幣價格現已回升到0.045USDT上方，但值得思考的是，空投代幣實際早已被盜，但卻在兩天後才由社區首次披露，ZKsync此前是真不知情還是為了避免社區騷亂而故意隱瞞？若ZKsync真是通過社區渠道才知情並展開調查，那麼也不由感嘆這個曾經的天王級項目背後也是一群“草臺班子”，被偷家了還渾然不覺。

社區合理推測，此次事件是否為內部成員的監守自盜，難道空投合約管理員賬戶密鑰是由一人保管？同時既然事件已經發生，後續失竊資金該如何處理，能否成功凍結或者進行回購？這些問題都有待團隊進行解答。最終調查結果，Odaily星球日報也將持續跟蹤報道。

ZKsync究竟走向了怎樣的終局？

此次事件也凸顯了在原本去中心化的系統中，中心化管理員權限所帶來的風險。強大的賬戶訪問控制與智能合約安全本身就同樣重要，管理員密鑰的安全性也會嚴重影響加密項目的安全性，不應將其分開而論。

然而，就在疑雲重重，黑客還在高高興興賣幣時，ZKsync創始人還在X平臺自信表示，“此次攻擊事件，項目代碼沒有被洩漏，僅是管理員密鑰洩漏，這就是為什麼ZK是終局。”

ZK驗證等技術一直被標榜比樂觀性證明（Op）具有更好的安全性，一度被認為是以太坊 L2 最終的技術形態，也就是Endgame。然而，此次代幣被盜事件雖然未涉及核心項目代幣，但對空投分配合約的保護措施未免太薄弱，彷彿一座先進高科技大廈的牆體裡填充的還是古時蓋房用的稻草。

面對社區“既然作為 ZK 領域的領導者之一，為什麼沒有預見到這次攻擊”的質問時，ZKsync創始人能大言不慚地回應“無法預見到黑天鵝”。權限賬戶密鑰被盜對區塊鏈項目來說是最普遍的攻擊方式，就如用戶每天面對的網絡釣魚，ZKsync沒有預先加強保護安全措施而將一切定義為黑天鵝，也反映出團隊的安全意識薄弱。

此外，ZKsync在實際應用方面又表現如何呢？根據DeFiLlama數據，ZKsync當前TVL為5529萬美元，排名第52位，同時其24小時鏈收入僅2178美元，從2024年9月開始每日收入就低於5000美元。相比之下，Arbitrum每日收入仍超1萬美元。ZKsync已成名副其實的“鬼鏈”。

ZKsync正在走向Endgame，這不是電影裡超級英雄大敗BOSS後的完美結局，而是遊戲裡因太菜被幹掉的黑屏結局。但在被徹底幹掉之前，希望ZKsync能先救救套牢的投資者們。