анализ на безбедноста на финансискиот проток zkSync и нападот со аирдроп

13 февруари 2026 admin

Layer-2 Ethereum скалабилната протокол zkSync, на 15 април вторник, имаше безбедносен инцидент за време на промоцијата на airdrop. Напаѓачите, го приватизираа административниот паричник и најдоа ZK токени во вредност од околу 5 милиони долари и ги присвоија. Настанот се случи со злоупотреба на sweepUnclaimed() функцијата во интелигентните договори што управуваа со процесите на airdrop. Оваа функција, која normally е дизајнирана за повлекување на ZK токени кои не биле побарани, беше искористена од напаѓачот за да испечати вкупно 111 милиони ZK токени од три различни договори за airdrop. Оваа количина е приближно 0,45% од вкупната понуда на токени.

Развијачкиот тим, со соработка со безбедносниот партнер SEAL, започна операција за спасување. Официјалните лица соопштија дека напаѓајот бил ограничен само на административниот паричник и дека средствата на корисниците не биле директно оштетени. Исто така е изјавено дека функцијата sweepUnclaimed() е деактивирана и дека системот не ја содржи некоја друга безбедносна дупка.

Брзи флуктуации на цената на ZK, што се покажуваше со волатилноста на цената на ZK токените веднаш по настанот. Според податоците од CoinMarketCap, понападот, цената на ZK во рамките на неколку минути падна за околу 18%, достигнувајќи 0,040 долари; потоа се опорави и достигна 0,047 долари. За последните 24 часа, цената продолжи да опаѓа со околу 4,5%, стоејќи на 0,046 долари. Овој случај повторно покажува колку е критична безбедноста на решенијата на слој-2, не само кај zkSync, туку генерално. Осмислувањето на управувачките нивоа, надзорот на системите за airdrop и можностите за злоупотреба на функциите на интелигентните договори се повторно разгледани во целиот сектор.

Покрај овој безбедносен инцидент, на 21 февруари 2025 година, криптовалутната берза Bybit беше нападната од страна на групата Lazarus поврзана со Северна Кореја и изгуби околу 401.000 ETH (околу 1,5 милијарди долари) вредност на средства. Bybit ја потврди безбедноста на средствата на корисниците и најави дека загубите ќе бидат покриени со резервите на компанијата.