ZKsync ligt onder vuur na een opvallende hack waarbij ruim $5 miljoen aan ZK-tokens werd gemint via een admin-account. De aanval vond plaats via een functie in het airdrop-contract van vorig jaar, waarmee de hacker ruim 111 miljoen niet-geclaimde tokens wist binnen te halen.

Wat ging er mis?

De hacker kreeg toegang tot een interne sleutel van het ZKsync-team. Daarmee riep hij een functie aan — sweepUnclaimed() — die eigenlijk bedoeld was om overgebleven airdrop-tokens op te ruimen. Alleen mintte deze functie de tokens direct naar de wallet van de aanvaller. Geen hack in de code dus, maar een probleem met toegang achter de schermen.

Volgens het team was dit een losstaand incident. “Gebruikersfondsen zijn nooit in gevaar geweest,” aldus ZKsync.

Wallet-tracking en geldspoor

De wallet van de aanvaller is inmiddels opgespoord. Die bevat momenteel zo’n $5,5 miljoen aan ZK- en ETH-tokens, verspreid over het ZKsync-netwerk en het Ethereum-mainnet. Er werd ook al ruim 1.000 ETH verplaatst naar Ethereum — waarschijnlijk een poging om sporen te wissen of cash out te gaan.

Is er meer aan de hand?

De timing van de aanval en het feit dat een admin-sleutel is misbruikt, roept vragen op. Op sociale media circuleren theorieën over een mogelijk inside job, al ontbreekt hard bewijs. Ook zijn er geluiden die de ZK-token zelf in twijfel trekken.

Het team onderzoekt de zaak verder. Mede-oprichter Alex Gluchowski benadrukte dat de smart contracts zelf niet zijn aangepast.

“We publiceren meer zodra het onderzoek en eventuele herstelacties afgerond zijn,” liet hij weten op X.

Impact op de koers

Het nieuws drukte meteen op de markt. De koers van ZK kelderde naar een dieptepunt van $0.041 — het laagste ooit. Inmiddels is er een kleine opleving van 5%, maar over de afgelopen maand staat de token nog steeds ruim 30% in de min, volgens CoinGecko.