A ZKSync confirmou que um hacker que desviou quase US$ 5 milhões dotracde distribuição gratuita de tokens ZK devolveu cada centavo dentro do prazo de 72 horas estipulado pelo projeto como "porto seguro".
“Temos o prazer de informar que o hacker cooperou e devolveu os fundos dentro do prazo estipulado pelo programa de proteção contra devoluções”, publicou no X, antigo Twitter. “O caso agora é considerado resolvido.”
Aproximadamente 44,6 milhões de tokens ZK e cerca de 1.800 ETH foram transferidos para o Conselho de Segurança do ZKSync, que decidirá — por meio de governança — como redistribuir os ativos.
O atacante explorou uma falha em um airdrop para cunhar tokens
O reembolso encerra o caso de uma exploração ocorrida no início desta semana, que se aproveitou de uma comprometida vinculada ao contrato do airdrop trac permitindo que o invasor criasse tokens extras e desviasse fundos não reclamados.
O culpado transferiu os fundos através da Ethereum (ETH) e da rede de camada 2 do ZKSync.
A vulnerabilidade não afetou a infraestrutura do protocolo em geral, otracdo token ZK ou as operações de governança.
O atacante contornou os processos normais de alocação e se apropriou de tokens não reclamados da rodada inicial de distribuição da rede. Dados on-chain revelaram posteriormente que o explorador trocou o equivalente a US$ 3,5 milhões em tokens ZK roubados por Ethereum.
A ZKSync garantiu aos usuários que odent não comprometeu os fundos dos clientes nem a infraestrutura principal.
“Todos os fundos dos usuários estão seguros e nunca estiveram em risco”, afirmou a ZKSync em uma publicação na terça-feira. “O protocolo ZKSync e otracdo token ZK permaneceram seguros.”
Posteriormente, o protocolo agiu emitindo uma mensagem na blockchain oferecendo ao atacante uma recompensa de 10% caso 90% dos fundos fossem devolvidos em até 3 dias.
A proposta incluía endereços de carteira específicos para a transferência de tokens ZK e ETH entre a rede ZKSync Era e a rede principal do Ethereum.
Por outro lado, a ZKSync havia alertado o hacker de que o não cumprimento dos termos faria com que o caso fosse encaminhado às autoridades policiais para uma “investigação criminal completa”
Após o ataque hacker, o preço do token ZK caiu brevemente para US$ 0,04. No entanto, estabilizou-se em cerca de US$ 0,05, uma queda de 2,6% nas últimas 24 horas, de acordo com dados .
A ZKSync afirmou que um relatório final da investigação está sendo elaborado após a devolução dos fundos pelo hacker. Segundo a equipe, o relatório será publicado assim que estiver concluído. O incidente dent o debate sobre os controles de acesso a contratos inteligentes trac principalmente em relação à segurança das chaves de administrador e de airdrop .
Os ataques a criptomoedas atingiram US$ 1,67 bilhão no primeiro trimestre, com um aumento expressivo de comprometimentos e explorações de vulnerabilidades em exchanges
O ataque é o mais recente de uma série de incidentes que têm assolado o setor de criptomoedas em 2025. De acordo com a empresa de segurança blockchain Immunefi, cerca de US$ 1,6 bilhão em criptomoedas foram roubados nos dois primeiros meses do ano.
Um relatório separado da empresa de segurança blockchain CertiK pinta um quadro igualmente preocupante, revelando que o primeiro trimestre do ano registrou uma perda impressionante de US$ 1,67 bilhão devido a ataques cibernéticos, golpes e explorações — o que já representa mais de dois terços do total de fundos roubados em 2024.
Uma parcela significativa do valor de tudo isso pode ser atribuída à catastrófica da vulnerabilidade da Bybit (que causou um prejuízo de US$ 1,45 bilhão), o que levantou algumas questões importantes sobre os tipos de práticas de segurança que as corretoras centralizadas estão implementando.
Osdentenvolvendo a violação de chaves privadas continuaram sendo o principal tipo de roubo de fundos, representando 15 casos e perdas de US$ 142,3 milhões.
Talvez ainda mais preocupante seja o fato de que apenas 0,38% dos fundos roubados foram recuperados no primeiro trimestre, em comparação com 42% no quarto trimestre. Cabe ressaltar que nenhum dólar foi recuperado do montante roubado em fevereiro de 2025.
Ethereum continua sendo a blockchain mais comprometida, com 98 ataques e US$ 1,54 bilhão roubados.
