1.11亿枚ZK代币被盗2天后才发现，ZKsync提前坠入Endgame

近期行业集体水逆，安全事件频发。

4 月 15 日晚间，曾任 L2“四大天王”之一的 ZKsync 被爆出一起项目代币安全事件，但信息并不是项目方最先披露。昨晚 21: 00 社区成员披露，Zksync 在链上印发 1.1 亿枚代币，并已在链上不断出售 6600 万枚代币，但根据代币解锁信息，团队和投资者代币仍处于锁定状态。

受此消息影响，ZK 在半小时内跌破 0.4 USDT，最低触及 0.03972 USDT。韩国交易所 Bithumb 表示发现 ZK 存在安全问题，临时暂停 ZK 充提业务，直至确保市场稳定。ZKsync 官方此时也在 官方 Discord 回复称正在开展调查。

就在社区猜测此次事件为项目方主动增发代币作恶时， ZKsync 发布公告称：

经调查，此次安全事件是因三个空投分发合约的管理员账户密钥泄露而被入侵，攻击者调用了 sweepUnclaimed() 函数，从 aidrop 合约中铸造了约 1.11 亿枚非申领 ZK 代币，使流通中代币供应量增长约 0.45% ，价值约 500 万美元。但此次攻击仅涉及 ZK 代币空投分配合约，ZKsync 协议、ZK 代币合约、所有三个治理合约以及所有活跃的代币计划上限铸币者均未受到此次事件的影响。目前正在与交易所协调恢复工作，建议攻击者退还资金并避免承担法律责任。

调查仍在进行中，晚些时候将公布详细更新信息。

代币实际被盗时间为 2 天前

然而，官方这样的解释无法使社区信服——据链上数据，黑客在 4 月 13 日 20: 00 （UTC+ 8）就已经从 ZK 代币空投分配合约中铸造了 1.11 亿枚代币，并且随即开始不断跨链转移和出售。截至目前该账户仅剩约 4468 万枚 ZK，价值约 212 万美元，仍占代币供应量的 0.34% 。

黑客在 4 月 13 日就 攻击成功

因此也可得出初步结论，昨晚 ZK 代币价格下跌并非全由黑客抛售造成，主要是被盗丑闻泄漏，引起了社区恐慌性抛售。

虽然 ZK 代币价格现已回升到 0.045 USDT 上方，但值得思考的是，空投代币实际早已被盗，但却在两天后才由社区首次披露，ZKsync 此前是真不知情还是为了避免社区骚乱而故意隐瞒？若 ZKsync 真是通过社区渠道才知情并展开调查，那么也不由感叹这个曾经的天王级项目背后也是一群“草台班子”，被偷家了还浑然不觉。

社区合理推测，此次事件是否为内部成员的监守自盗，难道空投合约管理员账户密钥是由一人保管？同时既然事件已经发生，后续失窃资金该如何处理，能否成功冻结或者进行回购？这些问题都有待团队进行解答。最终调查结果，Odaily星球日报也将持续跟踪报道。

ZKsync 究竟走向了怎样的终局？

此次事件也凸显了在原本去中心化的系统中，中心化管理员权限所带来的风险。强大的账户访问控制与智能合约安全本身就同样重要，管理员密钥的安全性也会严重影响加密项目的安全性，不应将其分开而论。

然而，就在疑云重重，黑客还在高高兴兴卖币时，ZKsync 创始人还在 X 平台 自信表示 ，“此次攻击事件，项目代码没有被泄漏，仅是管理员密钥泄漏，这就是为什么 ZK 是终局。”

ZK 验证等技术一直被标榜比乐观性证明（Op）具有更好的安全性，一度被认为是以太坊 L2 最终的技术形态，也就是 Endgame。然而，此次代币被盗事件虽然未涉及核心项目代币，但对空投分配合约的保护措施未免太薄弱，仿佛一座先进高科技大厦的墙体里填充的还是古时盖房用的稻草。

面对社区“既然作为 ZK 领域的领导者之一，为什么没有预见到这次攻击”的质问时，ZKsync 创始人能大言不惭地 回应 “无法预见到黑天鹅”。权限账户密钥被盗对区块链项目来说是最普遍的攻击方式，就如用户每天面对的网络钓鱼，ZKsync 没有预先加强保护安全措施而将一切定义为黑天鹅，也反映出团队的安全意识薄弱。

此外，ZKsync 在实际应用方面又表现如何呢？根据 DeFiLlama 数据 ，ZKsync 当前 TVL 为 5529 万美元，排名第 52 位，同时其 24 小时链收入仅 2178 美元，从 2024 年 9 月开始每日收入就低于 5000 美元。相比之下，Arbitrum 每日收入仍超 1 万美元。ZKsync 已成名副其实的“鬼链”。

ZKsync 正在走向 Endgame，这不是电影里超级英雄大败 BOSS 后的完美结局，而是游戏里因太菜被干掉的黑屏结局。但在被彻底干掉之前，希望 ZKsync 能先救救套牢的投资者们。