Na tarde de 15 de abril, a equipe responsável pelo protocolo ZKsync revelou que um ataque hacker conseguiu comprometer uma de suas contas administrativas, resultando na criação indevida de US$ 5 milhões em tokens não reivindicados. O incidente foi divulgado por meio do perfil oficial da ZKsync na plataforma X, que assegurou que os fundos dos usuários não foram afetados e classificou o ocorrido como um evento isolado.
Após uma investigação interna, a equipe detalhou que o invasor obteve controle sobre três contratos usados para distribuir tokens de airdrop. Utilizando uma função chamada sweepUnclaimed(), o atacante conseguiu gerar 111 milhões de tokens ZK que ainda não haviam sido resgatados. Essa ação aumentou a oferta total de tokens em 0,45%. Até o momento da última atualização, a maior parte desses fundos ainda estava sob posse do invasor.
A função utilizada para o ataque foi desativada como vetor de exploração, e a ZKsync garantiu que os contratos relacionados à governança e aos tokens não sofreram impacto. Para lidar com a situação, a equipe está trabalhando em conjunto com a Security Alliance (SEAL) em esforços de recuperação.
O ataque ocorreu em um momento delicado, enquanto a ZKsync conduzia uma distribuição de 17,5% de seu suprimento de tokens entre os participantes do ecossistema. A plataforma ZKsync Era, que utiliza a tecnologia de rollups de conhecimento zero (zero-knowledge rollups) para agrupar transações da rede Ethereum, acumulava US$ 57,3 milhões em valor total bloqueado, segundo dados do DeFiLlama no mesmo dia do incidente.
O reflexo do ataque também foi sentido no mercado. O token ZK (ZK) enfrentou forte volatilidade após o anúncio público. Por volta das 13h UTC, o ativo chegou a despencar 16%, alcançando o valor de US$ 0,040. No entanto, houve uma leve recuperação, com o preço voltando a US$ 0,047, embora ainda registrasse uma queda de 7% nas últimas 24 horas.
O incidente se insere em um panorama mais amplo de vulnerabilidades no setor de criptoativos. Somente no primeiro trimestre de 2025, as perdas provocadas por ataques desse tipo já somam US$ 2 bilhões — um valor que se aproxima dos US$ 2,3 bilhões perdidos ao longo de todo o ano anterior.
