Retroceso en la Seguridad de las Criptomonedas
La industria de las criptomonedas ha estado experimentando un grave retroceso en la seguridad recientemente, con incidentes que ocurren con alarmante frecuencia. En la noche del 15 de abril, ZKsync, anteriormente uno de los principales actores en el ámbito de las soluciones de escalabilidad Layer 2, estuvo involucrado en un incidente de seguridad relacionado con sus tokens. Sin embargo, la información no fue comunicada inicialmente por ellos.
El Incidente de ZKsync
A las 21:00 de esa noche, miembros de la comunidad revelaron que ZKsync había acuñado 110 millones de tokens en la cadena y había vendido 66 millones, a pesar de que los tokens destinados al equipo y a los inversores aún estaban bloqueados. Como resultado, el precio del token ZK cayó por debajo de 0.4 USDT en menos de media hora, alcanzando un mínimo de 0.03972 USDT. El intercambio surcoreano Bithumb identificó problemas de seguridad con ZK y suspendió temporalmente los servicios de depósito y retiro hasta que la situación del mercado se estabilizara.
Los representantes de ZKsync respondieron en su Discord oficial que estaban realizando una investigación. A medida que la comunidad comenzó a especular que el equipo del proyecto había emitido tokens de manera indebida, ZKsync emitió un anuncio que no logró calmar las inquietudes. De acuerdo con datos en la cadena, un hacker logró acuñar 111 millones de tokens a través del contrato de distribución de airdrop del token ZK.
Consecuencias del Escándalo
Hasta el momento, solo permanecen aproximadamente 44.68 millones de tokens ZK en la cuenta del hacker, equivalentes a aproximadamente $2.12 millones, lo que representa el 0.34% del suministro total de tokens. Es relevante considerar que la caída del precio de los tokens ZK no fue totalmente atribuible a la venta del hacker, sino que estuvo en gran medida relacionada con el escándalo del robo, generando pánico y ventas masivas entre los inversores.
Aunque el precio de los tokens ZK ha recuperado parcialmente, superando los 0.045 USDT, sigue siendo motivo de preocupación que los tokens robados hayan sido utilizados para fraudes y el hecho de que la comunidad no fue informada del incidente hasta dos días más tarde. Esto plantea la pregunta de si ZKsync estaba al tanto del robo y decidió ocultarlo para evitar pánico.
Inquietudes de la Comunidad
La comunidad ha empezado a indagar si este incidente pudo haber sido llevado a cabo por miembros internos. ¿Es posible que la clave del administrador del contrato de airdrop haya sido gestionada solo por una persona? Además, dado que el incidente ya ha tenido lugar, ¿cómo se tendrán que gestionar los fondos robados en el futuro? Estas inquietudes necesitan ser atendidas por el equipo de ZKsync.
“El código del proyecto no fue expuesto durante este ataque, al igual que no se filtró la clave de administrador”
Reflexiones Sobre la Seguridad
Este incidente pone de relieve los riesgos que conllevan los privilegios de administración centralizados en un sistema que, en principio, debería ser descentralizado. La seguridad de las claves de administración es tan vital como la protección de los contratos inteligentes mismos.
Las tecnologías como las pruebas de conocimiento cero (ZK) han sido elogiadas por su superioridad en seguridad, pero el robo no comprometió los tokens principales, lo que pone en duda las medidas de protección en el contrato de distribución de airdrop. La falta de anticipación y la consideración de este incidente como un cisne negro muestran una clara falta de conciencia de seguridad por parte del equipo.
Situación Actual de ZKsync
Según los datos de DeFiLlama, el Valor Total Bloqueado (TVL) de ZKsync es de $55.29 millones, ocupando el puesto 52. Su ingreso diario por transacciones en cadena es de apenas $2,178, y desde septiembre de 2024 no ha alcanzado más de $5,000 en ingresos. En comparación, Arbitrum genera ingresos diarios superiores a $10,000.
ZKsync se encuentra en un punto crítico. Este no es el desenlace heroico de una saga donde el protagonista vence al enemigo, sino más bien un final decepcionante donde el jugador es eliminado por falta de habilidad. Pero antes de su posible desaparición, esperemos que ZKsync logre auxiliar a los inversores en apuros.
