تسبب خرق أمني في ZKsync، يتعلق بأحد عقود توزيع الإصدارات المجانية، في سحب غير مصرح به لحوالي 5 ملايين دولار من رموز ZK.
أشار بيان رسمي من فريق أمان ZKsync إلى أن الهجوم كان نتيجة لمشكلة في حساب إداري، مما منح المهاجم الوصول إلى رموز توزيع الجوائز غير المطالب بها.
تم تصوير الحادث على أنه محصور ومعزول تمامًا. أكدت ZKsync أن أموال المستخدمين لم تتأثر في أي وقت، وأن البنية التحتية الأساسية - بما في ذلك بروتوكول ZKsync، وعقد الرمز المميز ZK، وجميع العقود المتعلقة بالحوكمة - تظل آمنة تمامًا. لم يؤثر الهجوم على أي جزء آخر من النظام البيئي بخلاف عقد توزيع الاسقاط.
تم تحديد المحفظة التي تم اختراقها على أنها 0x842822c797049269A3c29464221995C56da5587D ووجد أنها تحتفظ بالتحكم بمستوى الإدارة على ثلاثة عقود توزيع رموز تم استخدامها لتوزيع رموز ZK كإسقاط. باستخدام هذا التحكم، قام المهاجم باستدعاء الدالة sweep، مما سمح لهم باستلام والتحكم في حوالي 111 مليون رمز ZK لم يتم المطالبة بها بعد من قبل المستلمين المؤهلين.
التأثير محصور في عقد الاسقاط
لقد شهد حدث سك الرموز هذا الذي تم دون تفويض مناسب توسيع المعروض من رموز ZK المتداولة بحوالي 0.45 في المئة. على الرغم من أن هذه كانت كمية صغيرة نسبيًا عند النظر إلى إجمالي المعروض، إلا أن الحدث كان جديرًا بالاهتمام خاصة بسبب ما كان عليه ومتى حدث. لم تكن الرموز المعنية تهدف إلى التداول بهذه الطريقة، بل كانت مخصصة لتوزيع اسقاط.
كان ZKsync سريعًا في التحقق من أن هذه حادثة لمرة واحدة وأن مدى الاستغلال قد تم الكشف عنه بالفعل. جميع الرموز التي يمكن إنشاؤها من خلال هذه الطريقة قد تم إنشاؤها بالفعل، وقد تم التعامل مع الثغرة. لا يوجد الآن أي تهديد مستمر، ولا يمكن للمهاجم استخدام نفس الوسيلة للاستغلال بعد الآن.
من المهم فهم أن بروتوكول ZKsync، وعقد توكن ZK، وجميع عقود الحوكمة الثلاثة، وجميع المعدين المحدودين في برنامج التوكن لم تتعرض للاختراق وهي تعمل بكامل طاقتها. هذه الحادثة لا تؤثر على محافظ المستخدمين، أو أمان البروتوكول، أو سلامة عقد التوكن.
تحتفظ الغالبية العظمى من الرموز المسروقة مع المهاجم. بدأت ZKsync عملية استرداد بالتعاون مع مجموعة أمان blockchain SEAL 911 والعديد من البورصات. تساعد هذه البورصات في مراقبة وتتبع وإيقاف الأموال المسروقة قبل أن يتم غسلها أو بيعها. وقد دعت ZKsync المهاجم علنًا للتواصل معهم على security@zksync.io للتفاوض على إعادة الأموال المسروقة وتجنب الدعوى القضائية.
بينما التأثير المالي للحادث محتوى نسبيًا، فإنه يعزز المخاوف الأوسع بشأن إدارة المفاتيح الخاصة ومنح الحقوق الإدارية في العقود الذكية.
كيف تمكن المهاجم من الوصول إلى مفتاح المسؤول المخترق لا يزال غير معلن، ومع ذلك وعدت ZKsync مجتمعها بأنها أصبحت الآن أكثر أمانًا، وأن تحقيقًا داخليًا جارٍ، وأن هذه التدابير ينبغي أن تمنع وقوع حدث مشابه مرة أخرى.
لدى مجتمع العملات المشفرة مشاعر مختلطة تجاه الأخبار. يتمحور القلق حول الاختراق نفسه؛ بينما يأتي الشعور بالراحة من حقيقة أنه يبدو أنه لم يؤثر على أي من الأنظمة الأخرى. لقد قامت ZKsync بعمل جيد في أن تكون شفافة بشأن ما حدث. من الممكن أنه بفضل هذه الشفافية، قد تأتي بعض العلاقات العامة الجيدة من الحدث بعد كل شيء. ولكن إذا كان الناس يصرخون "فائدة الرؤية المتأخرة" فيما يتعلق بوصول توزيع ZKsync ، فإنهم يقتربون بشكل خطير من أن يصبحوا منتقدين للشفافية في عالم العملات المشفرة.
لقد تعرضت الثقة في عملية الاسقاط لضربة قصيرة الأمد، ولكن يبدو أن الأمان الأساسي والوظائف في منصة ZKsync لا تزال سليمة. الطريقة التي تعاملت بها ZKsync مع هذا الحدث - من خلال احتواء سريع، وتواصل واضح، وجهد بدا وكأنه مُعد جيدًا وتم تنفيذه بشكل تعاوني - تشير إلى أن البروتوكول يقوم بما يلزم لتبرير الثقة المستمرة في المشروع.
إفصاح: هذه ليست نصيحة تداول أو استثمار. دائمًا قم بإجراء بحثك قبل شراء أي عملة مشفرة أو الاستثمار في أي خدمات.
تابعونا على تويتر @themerklehash لتبقى على اطلاع بأحدث أخبار العملات المشفرة وNFT والذكاء الاصطناعي والأمن السيبراني وعالم الميتافيرس!
أكدت ZKsync اختراق حساب الإدارة في عقد الإطلاق: ~5 مليون دولار من رموز ZK تم المساس بها ظهرت أولاً على أخبار ميركل.
المحتوى هو للمرجعية فقط، وليس دعوة أو عرضًا. لا يتم تقديم أي مشورة استثمارية أو ضريبية أو قانونية. للمزيد من الإفصاحات حول المخاطر، يُرجى الاطلاع على إخلاء المسؤولية.
ZKsync تؤكد اختراق حساب الإدارة في عقد توزيع مجاني: ~$5M من عملات ZK تعرضت للخطر
تسبب خرق أمني في ZKsync، يتعلق بأحد عقود توزيع الإصدارات المجانية، في سحب غير مصرح به لحوالي 5 ملايين دولار من رموز ZK.
أشار بيان رسمي من فريق أمان ZKsync إلى أن الهجوم كان نتيجة لمشكلة في حساب إداري، مما منح المهاجم الوصول إلى رموز توزيع الجوائز غير المطالب بها.
تم تصوير الحادث على أنه محصور ومعزول تمامًا. أكدت ZKsync أن أموال المستخدمين لم تتأثر في أي وقت، وأن البنية التحتية الأساسية - بما في ذلك بروتوكول ZKsync، وعقد الرمز المميز ZK، وجميع العقود المتعلقة بالحوكمة - تظل آمنة تمامًا. لم يؤثر الهجوم على أي جزء آخر من النظام البيئي بخلاف عقد توزيع الاسقاط.
تم تحديد المحفظة التي تم اختراقها على أنها 0x842822c797049269A3c29464221995C56da5587D ووجد أنها تحتفظ بالتحكم بمستوى الإدارة على ثلاثة عقود توزيع رموز تم استخدامها لتوزيع رموز ZK كإسقاط. باستخدام هذا التحكم، قام المهاجم باستدعاء الدالة sweep، مما سمح لهم باستلام والتحكم في حوالي 111 مليون رمز ZK لم يتم المطالبة بها بعد من قبل المستلمين المؤهلين.
التأثير محصور في عقد الاسقاط
لقد شهد حدث سك الرموز هذا الذي تم دون تفويض مناسب توسيع المعروض من رموز ZK المتداولة بحوالي 0.45 في المئة. على الرغم من أن هذه كانت كمية صغيرة نسبيًا عند النظر إلى إجمالي المعروض، إلا أن الحدث كان جديرًا بالاهتمام خاصة بسبب ما كان عليه ومتى حدث. لم تكن الرموز المعنية تهدف إلى التداول بهذه الطريقة، بل كانت مخصصة لتوزيع اسقاط.
كان ZKsync سريعًا في التحقق من أن هذه حادثة لمرة واحدة وأن مدى الاستغلال قد تم الكشف عنه بالفعل. جميع الرموز التي يمكن إنشاؤها من خلال هذه الطريقة قد تم إنشاؤها بالفعل، وقد تم التعامل مع الثغرة. لا يوجد الآن أي تهديد مستمر، ولا يمكن للمهاجم استخدام نفس الوسيلة للاستغلال بعد الآن.
من المهم فهم أن بروتوكول ZKsync، وعقد توكن ZK، وجميع عقود الحوكمة الثلاثة، وجميع المعدين المحدودين في برنامج التوكن لم تتعرض للاختراق وهي تعمل بكامل طاقتها. هذه الحادثة لا تؤثر على محافظ المستخدمين، أو أمان البروتوكول، أو سلامة عقد التوكن.
تحتفظ الغالبية العظمى من الرموز المسروقة مع المهاجم. بدأت ZKsync عملية استرداد بالتعاون مع مجموعة أمان blockchain SEAL 911 والعديد من البورصات. تساعد هذه البورصات في مراقبة وتتبع وإيقاف الأموال المسروقة قبل أن يتم غسلها أو بيعها. وقد دعت ZKsync المهاجم علنًا للتواصل معهم على security@zksync.io للتفاوض على إعادة الأموال المسروقة وتجنب الدعوى القضائية.
بينما التأثير المالي للحادث محتوى نسبيًا، فإنه يعزز المخاوف الأوسع بشأن إدارة المفاتيح الخاصة ومنح الحقوق الإدارية في العقود الذكية.
كيف تمكن المهاجم من الوصول إلى مفتاح المسؤول المخترق لا يزال غير معلن، ومع ذلك وعدت ZKsync مجتمعها بأنها أصبحت الآن أكثر أمانًا، وأن تحقيقًا داخليًا جارٍ، وأن هذه التدابير ينبغي أن تمنع وقوع حدث مشابه مرة أخرى.
لدى مجتمع العملات المشفرة مشاعر مختلطة تجاه الأخبار. يتمحور القلق حول الاختراق نفسه؛ بينما يأتي الشعور بالراحة من حقيقة أنه يبدو أنه لم يؤثر على أي من الأنظمة الأخرى. لقد قامت ZKsync بعمل جيد في أن تكون شفافة بشأن ما حدث. من الممكن أنه بفضل هذه الشفافية، قد تأتي بعض العلاقات العامة الجيدة من الحدث بعد كل شيء. ولكن إذا كان الناس يصرخون "فائدة الرؤية المتأخرة" فيما يتعلق بوصول توزيع ZKsync ، فإنهم يقتربون بشكل خطير من أن يصبحوا منتقدين للشفافية في عالم العملات المشفرة.
لقد تعرضت الثقة في عملية الاسقاط لضربة قصيرة الأمد، ولكن يبدو أن الأمان الأساسي والوظائف في منصة ZKsync لا تزال سليمة. الطريقة التي تعاملت بها ZKsync مع هذا الحدث - من خلال احتواء سريع، وتواصل واضح، وجهد بدا وكأنه مُعد جيدًا وتم تنفيذه بشكل تعاوني - تشير إلى أن البروتوكول يقوم بما يلزم لتبرير الثقة المستمرة في المشروع.
إفصاح: هذه ليست نصيحة تداول أو استثمار. دائمًا قم بإجراء بحثك قبل شراء أي عملة مشفرة أو الاستثمار في أي خدمات.
تابعونا على تويتر @themerklehash لتبقى على اطلاع بأحدث أخبار العملات المشفرة وNFT والذكاء الاصطناعي والأمن السيبراني وعالم الميتافيرس!
أكدت ZKsync اختراق حساب الإدارة في عقد الإطلاق: ~5 مليون دولار من رموز ZK تم المساس بها ظهرت أولاً على أخبار ميركل.