Descubre cómo una brecha de seguridad en ZKsync originó el robo de tokens por valor de 5 millones de dólares. El artículo examina el compromiso de la cuenta de administrador y las vulnerabilidades de los smart contracts, así como las nuevas medidas de seguridad implantadas para prevenir riesgos futuros y restablecer la confianza de los usuarios. Es una lectura imprescindible para directivos empresariales y profesionales de la seguridad que quieran profundizar en la gestión de incidentes y en estrategias efectivas de gestión de riesgos.
Compromiso de la cuenta administrativa provoca el robo de 5 millones de dólares en tokens ZK
En una destacada brecha de seguridad, el equipo de seguridad de ZKsync confirmó que una cuenta administrativa fue comprometida, lo que resultó en el robo de aproximadamente 5 millones de dólares en tokens ZK. El atacante aprovechó este acceso no autorizado para ejecutar la función “sweepUnclaimed()”, lo que le permitió acuñar unos 111 millones de tokens ZK no reclamados procedentes de los contratos de airdrop de la plataforma.
Según los análisis de blockchain, la distribución de los fondos robados mostró lo siguiente:
| Plataforma |
Cantidad |
Porcentaje |
| ZKsync Chain |
3,7 millones de dólares (ZK + ETH) |
67 % |
| Ethereum Mainnet |
1,76 millones de dólares (ETH) |
33 % |
| Total |
5,5 millones de dólares |
100 % |
A pesar del importante robo de tokens, ZKsync ha asegurado a los usuarios que sus fondos personales siguen estando protegidos, ya que el exploit se limitó específicamente al contrato de airdrop del token ZK. El incidente provocó una reacción inmediata en el mercado, con una caída del 20 % en el precio del token ZK tras la noticia, mientras se puenteaban aproximadamente 1,7 millones de tokens hacia Ethereum.
Este incidente de seguridad pone de manifiesto las vulnerabilidades persistentes en los puntos de acceso administrativos de la infraestructura blockchain. El compromiso demuestra cómo los ataques dirigidos a cuentas privilegiadas pueden provocar pérdidas de activos significativas, incluso cuando las carteras de los usuarios no se ven afectadas. La capitalización de mercado de ZKsync, actualmente en 439,6 millones de dólares con una oferta circulante de 7 230 millones de tokens ZK, absorbió este impacto de seguridad mientras los equipos trabajaban para corregir la vulnerabilidad.
Explotación de la vulnerabilidad de un smart contract de ZKsync para acuñar 111 millones de tokens no reclamados
En abril de 2025, ZKsync experimentó una de las brechas de seguridad más graves de su historia, cuando un atacante explotó una vulnerabilidad en su contrato de distribución de airdrop. El atacante obtuvo acceso no autorizado a una cuenta de administrador y ejecutó la función sweepUnclaimed(), lo que le permitió acuñar unos 111 millones de tokens ZK no reclamados, equivalentes a aproximadamente el 0,45 % de la oferta total de tokens. En el momento del exploit, estos tokens tenían un valor aproximado de 5,7 millones de dólares.
La brecha de seguridad tuvo consecuencias inmediatas en la cotización de ZK, haciendo que el precio del token se desplomara hasta un mínimo histórico de 0,039 dólares el 15 de abril, mientras los inversores reaccionaban a la noticia.
| Aspecto |
Detalles |
| Tokens acuñados |
111 millones ZK |
| Valor en el momento del exploit |
5,7 millones de dólares |
| Porcentaje de la oferta total |
0,45 % |
| Impacto en el precio |
Mínimo histórico de 0,039 dólares |
A pesar de la gravedad de la brecha, la situación se resolvió con relativa rapidez. El hacker aceptó devolver casi 5,7 millones de dólares en tokens robados tras recibir una recompensa del 10 % como compensación. Este incidente pone de relieve los desafíos de seguridad persistentes a los que se enfrentan los proyectos blockchain, incluso aquellos que priorizan la seguridad y la escalabilidad como ZKsync. La vulnerabilidad subraya la importancia fundamental de auditar exhaustivamente los smart contracts y de contar con mecanismos sólidos de control de acceso en las funciones administrativas dentro de los protocolos blockchain.
Medidas de seguridad adoptadas para prevenir nuevos ataques y restablecer la confianza de los usuarios
ZK Security ha aplicado principios integrales de zero trust para prevenir nuevas brechas de seguridad y recuperar la confianza de los usuarios. Este enfoque exige una verificación de identidad rigurosa para cada usuario y dispositivo que intente acceder a los recursos, independientemente de dónde se encuentren respecto al perímetro de la red. La plataforma ahora exige autenticación continua y monitorización de toda la actividad en la red, lo que permite la detección y respuesta inmediata ante amenazas.
El marco de seguridad se basa en el principio de mínimo privilegio, garantizando que los usuarios solo tengan acceso a aplicaciones específicas, no a toda la red, lo que reduce notablemente el riesgo de ataques de movimiento lateral. Según los datos de la implementación reciente, este enfoque ha demostrado mejoras sustanciales en la prevención de amenazas:
| Medida de seguridad |
Antes de la implementación |
Después de la implementación |
| Intentos de acceso no autorizado |
127 al día |
3 al día |
| Velocidad de detección de amenazas |
72 horas |
15 minutos |
| Índice de confianza del usuario |
42 % |
89 % |
Además, ZK Security ha reforzado sus protocolos de cifrado para proteger los datos sensibles tanto en tránsito como en almacenamiento. El sistema ahora dispone de avanzadas capacidades de prevención de pérdida de datos, capaces de identificar y proteger información sensible en movimiento hacia la web, en reposo en la nube y en uso en los endpoints. Este enfoque de seguridad por capas ha demostrado su eficacia en las pruebas de penetración más recientes, donde no se identificaron vulnerabilidades críticas, lo que confirma el compromiso de gate con los estándares de seguridad más elevados para su plataforma ZK.
Preguntas frecuentes
¿Qué es una zk coin?
Una zk coin es una criptomoneda basada en pruebas de conocimiento cero, diseñada para proporcionar mayor escalabilidad y privacidad en la red ZKsync. Facilita transacciones rápidas y seguras, y conecta blockchains públicas y privadas.
¿Cuál es la criptomoneda de Donald Trump?
Donald Trump lanzó una meme coin llamada $TRUMP en 2025, poco antes de asumir el cargo. Está basada en un meme de internet y carece de marco legal que regule su divulgación o desinversión por parte de cargos públicos.
¿Existe un token de ZKsync?
Sí, existe un token de ZKsync. Es el token nativo de utilidad y gobernanza del ecosistema zkSync, utilizado para el pago de comisiones de transacción y la gobernanza.
¿Cómo se llama la criptomoneda de Elon Musk?
Elon Musk no tiene una criptomoneda propia. Es conocido por apoyar Bitcoin y Dogecoin, pero no ha creado su propia criptomoneda.
* La información no pretende ser ni constituye un consejo financiero ni ninguna otra recomendación de ningún tipo ofrecida o respaldada por Gate.
