Descubra como uma falha de segurança na ZKsync originou o furto de tokens no valor de 5M $. Este artigo examina o comprometimento da conta de administração e as vulnerabilidades nos smart contracts, além das novas medidas de segurança aplicadas para prevenir futuros riscos e recuperar a confiança dos utilizadores. Indicado para gestores empresariais e profissionais de segurança que pretendem aprofundar abordagens sobre gestão de incidentes e estratégias de controlo de risco.
Compromisso de conta administrativa originou roubo de 5 M $ em tokens ZK
Numa grave violação de segurança, a equipa de segurança da ZKsync confirmou o compromisso de uma conta administrativa, que resultou no roubo de cerca de 5 milhões de dólares em tokens ZK. O atacante aproveitou este acesso indevido para executar a função "sweepUnclaimed()", permitindo-lhe cunhar cerca de 111 milhões de tokens ZK não reclamados a partir dos contratos de airdrop da plataforma.
Segundo análises de blockchain, a distribuição dos fundos roubados revelou:
| Plataforma |
Montante |
Percentagem |
| ZKsync Chain |
3,7 M $ (ZK + ETH) |
67% |
| Ethereum Mainnet |
1,76 M $ (ETH) |
33% |
| Total |
5,5 M $ |
100% |
Apesar da amplitude do roubo, a ZKsync garantiu aos utilizadores que os seus fundos pessoais permanecem seguros, pois a vulnerabilidade afetou exclusivamente o contrato de airdrop do Token ZK. O incidente gerou uma reação imediata do mercado, com o preço do token ZK a cair 20% após a divulgação, à medida que cerca de 1,7 milhões de tokens foram transferidos para Ethereum.
Este incidente de segurança evidencia vulnerabilidades persistentes nos pontos de acesso administrativo em infraestruturas blockchain. O compromisso demonstra que ataques direcionados a contas privilegiadas podem originar perdas significativas de ativos, mesmo quando as carteiras dos utilizadores não são afetadas. A capitalização bolsista da ZKsync, atualmente em 439,6 milhões de dólares, com uma oferta circulante de 7,23 mil milhões de tokens ZK, absorveu este impacto à medida que as equipas trabalharam para mitigar a vulnerabilidade.
Vulnerabilidade em smart contract da ZKsync explorada para cunhagem de 111 milhões de tokens não reclamados
Em abril de 2025, a ZKsync registou uma das maiores violações de segurança da sua história, quando um atacante explorou uma vulnerabilidade num contrato de distribuição de airdrop. O atacante obteve acesso indevido a uma conta de administração e ativou a função sweepUnclaimed(), conseguindo cunhar cerca de 111 milhões de tokens ZK não reclamados, o que representa 0,45% da oferta total de tokens. No momento do ataque, estes tokens estavam avaliados em cerca de 5,7 milhões de dólares.
A violação de segurança provocou efeitos imediatos no mercado, levando o preço do token ZK a um mínimo histórico de 0,039 $ em 15 de abril, após a reação dos investidores.
| Aspeto |
Detalhes |
| Tokens Cunhados |
111 milhões ZK |
| Valor no Momento do Ataque |
5,7 milhões $ |
| Percentagem da Oferta Total |
0,45% |
| Impacto no Preço |
Mínimo histórico de 0,039 $ |
Apesar da gravidade do incidente, a situação foi rapidamente resolvida. O hacker aceitou devolver quase 5,7 milhões de dólares em tokens roubados após receber uma recompensa de 10% como compensação. Este acontecimento evidencia os desafios de segurança recorrentes nos projetos blockchain, mesmo entre os que apostam na segurança e escalabilidade como a ZKsync. A vulnerabilidade reforça a importância de auditorias rigorosas a smart contracts e de mecanismos sólidos de controlo de acesso para funções administrativas nos protocolos blockchain.
Medidas de segurança aplicadas para prevenir ataques adicionais e restaurar a confiança dos utilizadores
A ZK Security adotou princípios de zero-trust abrangentes para evitar futuras violações e recuperar a confiança dos utilizadores. Esta abordagem exige verificação rigorosa de identidade para cada utilizador e dispositivo que tenta aceder aos recursos, independentemente da sua localização face ao perímetro de rede. A plataforma aplica agora autenticação permanente e monitorização de todas as atividades de rede, permitindo deteção e resposta imediata a ameaças.
O modelo de segurança integra o princípio de acesso de menor privilégio, garantindo que os utilizadores acedem apenas a aplicações específicas e não à rede completa, o que reduz drasticamente o risco de ataques de movimento lateral. De acordo com dados recentes de implementação, esta estratégia demonstrou melhorias expressivas na prevenção de ameaças:
| Medida de Segurança |
Pré-Implementação |
Pós-Implementação |
| Tentativas de Acesso Não Autorizado |
127 diárias |
3 diárias |
| Tempo de Deteção de Ameaças |
72 horas |
15 minutos |
| Classificação de Confiança dos Utilizadores |
42% |
89% |
Adicionalmente, a ZK Security reforçou os protocolos de encriptação para proteger dados sensíveis em trânsito e em armazenamento. O sistema inclui agora funcionalidades avançadas de prevenção de perda de dados, capazes de identificar e salvaguardar informação sensível em trânsito para a web, em repouso na cloud e em utilização em endpoints. Esta abordagem multicamadas revelou-se eficaz em testes recentes de penetração, nos quais não foram detetadas vulnerabilidades críticas, confirmando o compromisso da gate com os mais elevados padrões de segurança para a plataforma ZK.
FAQ
O que é uma zk coin?
Uma zk coin é uma criptomoeda que recorre a provas de conhecimento zero para aumentar a escalabilidade e privacidade na rede ZKsync. Permite transações rápidas e seguras, conectando blockchains públicas e privadas.
Qual é a criptomoeda de Donald Trump?
Donald Trump lançou uma meme coin denominada $TRUMP em 2025, pouco antes de assumir funções. Baseia-se num meme da internet e não tem enquadramento legal para divulgação ou alienação por titulares de cargos públicos.
Existe um token ZKsync?
Sim, existe um token ZKsync. Trata-se do token nativo de utilidade e governação do ecossistema zkSync, utilizado para taxas de transação e governação.
Qual é o nome da criptomoeda de Elon Musk?
Elon Musk não tem uma criptomoeda própria. É reconhecido pelo apoio ao Bitcoin e Dogecoin, mas nunca criou uma criptomoeda pessoal.
* As informações não se destinam a ser e não constituem aconselhamento financeiro ou qualquer outra recomendação de qualquer tipo oferecido ou endossado pela Gate.
