Ethereum Katman-2 Ölçeklendirme Protokolü zkSync’e Saldırı
15 Nisan Salı günü gerçekleştirilen zkSync airdrop kampanyası sırasında, protokol büyük bir siber saldırıya maruz kaldı. Saldırganlar, protokole ait yönetici cüzdanını hack’leyerek yaklaşık 5 milyon dolar değerinde ZK token’ını zimmetine geçirdi. Bu olay, blockchain güvenliği açısından ciddi bir uyarı niteliği taşıyor.
Saldırının Detayları ve İşleyiş
Saldırının temel nedeni, zkSync’in airdrop sürecinde kullanılan ve akıllı sözleşmelerdeki “sweepUnclaimed()” adlı fonksiyonun istismar edilmesi oldu. Normalde bu fonksiyon, talep edilmemiş ZK token’larını geri toplamaya yönelik tasarlanmıştı. Ancak, saldırgan, üç farklı airdrop sözleşmesinden toplamda 111 milyon ZK token basarak bu fonksiyonu suiistimal etti. Bu miktar, toplam token arzının yaklaşık %0,45’ine denk geliyor ve ciddi bir token manipülasyonu girişimi olarak değerlendiriliyor.
Geliştirici Ekibin Müdahalesi ve Güvenlik Önlemleri
Saldırının ardından zkSync ekibi, güvenlik ortağı SEAL ile birlikte hızla bir kurtarma operasyonu başlattı. Ekip tarafından yapılan açıklamada, saldırının sadece yönetici cüzdan seviyesinde gerçekleştiği ve kullanıcı fonlarının doğrudan etkilenmediği bildirildi. Ayrıca, “sweepUnclaimed()” fonksiyonunun devre dışı bırakıldığı ve sistemde başka bir açık bulunmadığı vurgulandı. Bu sayede, sistemin genel güvenliği korunmaya devam ediyor.
ZK Token Fiyatındaki Volatilite
ZK fiyatı büyük bir düşüş yaşadı
Olay sonrası ZK token’in piyasa fiyatında ciddi bir volatilite gözlemlendi. CoinMarketCap verilerine göre, saldırıdan birkaç dakika sonra token fiyatı %18 oranında gerileyerek 0,040 dolar seviyesine kadar düştü. Ancak, piyasaların kısa sürede toparlanmasıyla birlikte fiyat tekrar 0,047 dolar seviyelerine yükseldi. Son 24 saatte ise ZK token yaklaşık %4 değer kaybederek 0,046 dolar bandında seyrediyor. Bu durum, blockchain güvenliğinin ve özellikle Katman-2 çözümlerinin ne kadar kırılgan olabileceğine dair önemli bir örnek teşkil ediyor.
Genel Değerlendirme ve Gelecek Perspektifi
Bu saldırı, yalnızca zkSync’e özgü değil, genel olarak blockchain ve kripto para sektöründe güvenlik açıklarının ne kadar kritik olduğunu bir kez daha gösterdi. Yönetici erişimlerinin nasıl yapılandırıldığı, airdrop sistemlerinin denetlenme süreçleri ve akıllı sözleşmelerin kötüye kullanım riskleri, sektör uzmanlarının gündeminde ilk sıralarda yer alıyor. Ayrıca, bu tür olayların önüne geçmek için gelişmiş güvenlik önlemlerinin alınması ve düzenli denetimlerin yapılması gerektiği bir kez daha ortaya çıkmıştır.
