Ngày 15 tháng 4, dữ liệu on-chain ghi nhận hoạt động bất thường trên mạng lưới ZKsync khi có đến 110 triệu token ZK được mint (phát hành) đột ngột, trong đó khoảng 66 triệu token đã bị bán ra liên tục. Đáng chú ý, theo lịch trình mở khóa token hiện tại, toàn bộ token thuộc về đội ngũ phát triển và nhà đầu tư vẫn đang bị khóa, điều này càng làm dấy lên nghi vấn về một vụ khai thác trái phép.
Ngay sau đó, đội ngũ bảo mật của ZKsync xác nhận một ví quản trị đã bị tấn công. Hacker đã chiếm quyền kiểm soát ví này và rút ra số lượng token ZK trị giá khoảng 5 triệu USD. Đây là phần token chưa được người dùng nhận từ đợt airdrop trước đó – tức là token vẫn còn “nằm” trong hợp đồng claim và chưa thuộc quyền sở hữu của bất kỳ cá nhân nào.
Phía dự án ZKsync trấn an rằng sự cố chỉ ảnh hưởng đến hợp đồng airdrop token ZK và hoàn toàn không ảnh hưởng đến quỹ của người dùng. Tuy nhiên, điều này không ngăn được phản ứng tiêu cực từ thị trường: token ZK lập tức lao dốc hơn 15% chỉ trong vài giờ sau thông tin rò rỉ. Những người đang nắm giữ token ZK (HODLer) đang gánh chịu thiệt hại rõ rệt khi giá trị tài sản bị thổi bay nhanh chóng.
Sự cố lần này cho thấy lỗ hổng bảo mật ở ngay chính khâu quản lý token chưa claim – một điểm thường bị bỏ qua nhưng lại tiềm ẩn rủi ro lớn nếu không được kiểm soát chặt chẽ. Nhà đầu tư và cộng đồng hiện đang yêu cầu ZKsync công khai thêm thông tin chi tiết và có biện pháp tăng cường bảo mật để tránh lặp lại vụ việc tương tự trong tương lai.
