ZKsync-hacker houdt 10% en geeft $5 miljoen terug

Een hacker die vorige week toesloeg bij ZKsync heeft het grootste deel van zijn buit netjes teruggebracht. Hij kreeg er een beloning van 10% voor, en hoeft verder niks te vrezen. De zaak is daarmee afgerond – zonder rechtszaak, mét leerpunten voor de community.

De hack was gericht op een beheerderswallet van ZKsync, waarmee de dader toegang kreeg tot tokens die nog niet waren opgeëist uit een eerdere airdrop. In totaal ging het om zo’n vijf miljoen dollar aan crypto.

ZKsync bood de hacker een zogeheten safe harbor-periode aan: een korte termijn waarin iemand gestolen geld kan teruggeven zonder juridische gevolgen. De hacker maakte daar gebruik van, werkte mee en mocht 10% van het bedrag houden als ‘bug bounty’. Zo’n aanpak komt vaker voor bij blockchainprojecten, om de schade te beperken en ethisch hacken aan te moedigen.

De teruggestuurde tokens zijn nu onder beheer van de ZKsync Security Council. Die beslist binnenkort, samen met de community, wat ermee gebeurt. Mogelijk worden ze opnieuw verdeeld of bewaard voor een volgend initiatief.

Een uitgebreid rapport over het incident volgt later.

Waarom dit ertoe doet:
Deze zaak laat zien dat snelle actie en duidelijke regels rondom beveiligingsincidenten het verschil kunnen maken. En hoewel het goed afliep, blijft het een wake-upcall: zelfs serieuze projecten zoals ZKsync zijn kwetsbaar als admin wallets niet goed worden beschermd.