Een slimme hacker wist op 15 april een kwetsbaarheid te vinden in het airdrop-systeem van ZKsync. Het resultaat? Meer dan 100 miljoen tokens extra in omloop, ter waarde van zo’n 5 miljoen dollar.

Hoe kon dit gebeuren?

De aanvaller kreeg toegang tot een beheerdersaccount dat gekoppeld was aan drie airdrop-contracten. Daarmee werd een speciale functie geactiveerd, sweepUnclaimed(), bedoeld om niet-geclaimde tokens op te ruimen. Alleen gebruikte de hacker die functie om juist 111 miljoen ZK-tokens te creëren – en dat zonder toestemming. Hiermee werd het totale aanbod van de token met 0,45% verhoogd.

Belangrijk detail: gebruikersfondsen zijn niet geraakt. Volgens ZKsync bleef de schade beperkt tot deze ene exploit, en zijn andere onderdelen van het protocol niet in gevaar geweest. De kwetsbaarheid is inmiddels gedicht.

Wat doet ZKsync eraan?

Het team van ZKsync is direct in actie gekomen en werkt nu samen met de Security Alliance (SEAL) om de situatie op te lossen. De hacker heeft op dit moment nog steeds de meeste tokens in handen, maar de verwachting is dat vervolgstappen worden genomen om deze buit terug te halen.

ZKsync is een layer-2 oplossing op Ethereum en verwerkt transacties via zero-knowledge rollups — een techniek die snelheid en schaalbaarheid combineert zonder de veiligheid van het hoofdnetwerk in gevaar te brengen.

Prijsdaling en marktimpact

Zoals wel vaker bij hacks, reageerde de markt heftig. De ZK-token daalde kort na de bekendmaking met 16% naar $0,040. Inmiddels is de prijs iets opgeveerd, maar de token staat nog steeds 7% lager dan een dag eerder.

Timing had niet slechter gekund

De hack komt op een ongelukkig moment: ZKsync was net begonnen met het uitdelen van 17,5% van zijn totale tokenvoorraad via een airdrop. Met $57 miljoen aan waarde vastgezet op het platform (cijfers van DefiLlama), kijkt de community extra kritisch naar hoe het team hiermee omgaat.

Breder probleem in crypto

De hack van ZKsync staat niet op zichzelf. In het eerste kwartaal van 2025 is er al voor ruim $2 miljard aan crypto buitgemaakt door hackers. Daarmee ligt de sector op schema om het negatieve record van 2024 te verbreken.