gokgann
Aktif Üye
- 17 Ocak 2025
- 1,271
- 0
5 Milyon Dolarlık ZKSync Saldırısı Nasıl Çözüldü?
Layer‑2 ölçeklenme projesi ZKSync, 15 Nisan’daki 5 milyon $’lık istismar sonrası çalınan varlıkların %90’ını geri aldı. Saldırgan, platformun 72 saatlik “güvenli liman” teklifini kabul ederek fonları iade etti ve %10’luk kısmı hata ödülü (bounty) olarak aldı. İşte olayın tüm ayrıntıları:Saldırının Seyri
| Tarih | Olay |
|---|---|
| 15 Nisan 2025 | Yönetici anahtarının ele geçirilmesiyle 111 milyon sahte ZK token basıldı (≈ 5 M $). |
| 21 Nisan 2025 | ZKSync, saldırgana 72 saat içinde %90’ı iade et, %10 sende kalsın teklifini iletti. |
| 23 Nisan 2025 | Saldırgan 45 M ZK ve 1.700+ ETH’yi Güvenlik Konseyi cüzdanına gönderdi. |
Hangi Sözleşmeler Etkilendi?
- Yalnızca 3 airdrop dağıtım sözleşmesi açıkta kaldı.
- Çekirdek protokol, kullanıcı varlıkları ve yönetişim sözleşmeleri güvende kaldı.
- Dağıtıcı sözleşmeler zaten “cap”’li olduğundan yeni token basılması engellendi.
ZKSync’in Müdahalesi
- Safe Harbor: 72 saat içinde geri iade eden saldırgana hukuki yaptırım uygulanmıyor.
- Bounty: Çalınan fonun %10’u, hatayı ifşa eden kişiye ödül olarak bırakılıyor.
- İşlem Filtresi: Matter Labs, kötü niyetli adreslerden gelen işlemleri geçici olarak engelledi.
- ZKSync Era hâlâ “Stage 0”’da olduğundan merkezi önlemler mümkün.
- Filtre, yönetişim oylamasıyla kaldırılabilecek.
Neden Önemli?
- Sektörde nadir bir başarı: Çoğu DeFi saldırısında fonlar kaybolur; bu vaka geri kazanımla sonuçlandı.
- Yönetişim Bağlantısı: Saldırı, doğrudan ZK token arzını etkilediği için yönetimsel risk barındırıyordu.
- Güvenlik Modelleri: Safe‑harbor + bounty yaklaşımı, projelere “beyaz bayrak” opsiyonu sunuyor.
Bundan Sonra Ne Olacak?
- Güvenlik Konseyi elindeki fonları ne şekilde dağıtacağına dair topluluk oylaması başlatacak.
- Nihai rapor kısa sürede yayımlanacak; açık nasıl keşfedildi, hangi önlemler kalıcı hale getirilecek, detaylanacak.
- Merkezi filtreler topluluk kararıyla aşamalı olarak kaldırılacak; uzun vadede tam merkeziyetsizlik hedefleniyor.