Una violación de seguridad en ZKsync, relacionada con uno de sus contratos de distribución de airdrop, ha resultado en la barrida no autorizada de aproximadamente $5 millones en tokens ZK.
Una declaración oficial del equipo de seguridad de ZKsync señaló que el ataque fue el resultado de una cuenta de administrador comprometida, dando al atacante acceso a los tokens de airdrop no reclamados.
El incidente ha sido representado como completamente contenido y aislado. ZKsync subrayó que en ningún momento se vieron afectados los fondos de los usuarios, y la infraestructura central—incluido el protocolo ZKsync, el contrato del token ZK y todos los contratos relacionados con la gobernanza—sigue siendo completamente segura. El asalto no afectó a ningún otro segmento del ecosistema más allá del contrato de distribución de airdrop.
La billetera que fue comprometida ha sido identificada como 0x842822c797049269A3c29464221995C56da5587D y se encontró que mantenía control a nivel de administrador sobre tres contratos de distribución de tokens que se utilizaron para distribuir tokens ZK como un airdrop. Usando este control, el atacante llamó a la función Soltar, lo que les permitió recibir y controlar aproximadamente 111 millones de tokens ZK que aún no habían sido reclamados por los destinatarios elegibles.
Impacto confinado al contrato de airdrop
Este evento de acuñación que tuvo lugar sin la debida autorización hizo que la oferta de tokens ZK en circulación se expandiera en aproximadamente un 0.45 por ciento. Aunque esta era una cantidad relativamente pequeña cuando se observa la totalidad de la oferta, el acontecimiento fue notable especialmente por lo que era y cuándo tuvo lugar. Los tokens en cuestión no estaban destinados a circular de esta manera, sino que estaban destinados a la distribución de airdrop.
ZKsync fue rápido en verificar que este es un incidente único y que la extensión completa de la explotación ya se ha desarrollado. Todos los tokens que podrían generarse a través de este método ya han sido generados, y la vulnerabilidad ha sido manejada. Ahora no hay una amenaza en curso, y el atacante no puede usar el mismo vector para la explotación nuevamente.
Es crucial entender que el protocolo ZKsync, el contrato del token ZK, los tres contratos de gobernanza y todos los minters limitados del Programa de Token no fueron comprometidos y están completamente funcionales. Este incidente no afecta las billeteras de los usuarios, la seguridad del protocolo ni la integridad del contrato del token.
La mayoría de los tokens robados aún están con el atacante. ZKsync comenzó un proceso de recuperación en colaboración con el grupo de seguridad blockchain SEAL 911 y varias exchanges. Estas exchanges ayudan a monitorear, rastrear y detener los fondos robados antes de que puedan ser blanqueados o vendidos. ZKsync ha invitado públicamente al atacante a contactarlos en security@zksync.io para negociar el regreso de los fondos robados y evitar una demanda.
Si bien el impacto financiero del incidente es relativamente contenido, amplifica preocupaciones más amplias sobre la gestión de claves privadas y la concesión de derechos administrativos en contratos inteligentes.
Cómo el atacante accedió a la clave de administrador comprometida sigue sin revelarse, sin embargo, ZKsync ha prometido a su comunidad que ahora es más seguro, que se está llevando a cabo una investigación interna y que estas medidas deberían prevenir que un evento similar ocurra nuevamente.
La comunidad cripto tiene sentimientos encontrados sobre la noticia. La preocupación se centra en la violación en sí; el alivio proviene del hecho de que parece no haber impactado a ninguno de los otros sistemas. ZKsync ha hecho un buen trabajo siendo transparente sobre lo que ocurrió. Es posible que gracias a esta transparencia, algo de buena publicidad pueda surgir del evento después de todo. Pero si la gente está gritando "beneficio de la retrospección" con respecto al acceso al airdrop de ZKsync, entonces se están acercando peligrosamente a ser críticos de la transparencia en cripto.
La confianza en el proceso de airdrop ha sufrido un golpe a corto plazo, pero parece que la seguridad y funcionalidad central de la plataforma ZKsync están intactas. La forma en que ZKsync manejó este evento—con una contención rápida, comunicación clara y un esfuerzo que pareció bien ensayado y ejecutado de manera colaborativa—sugiere que el protocolo está haciendo lo que necesita hacer para justificar la fe continua en el proyecto.
Divulgación: Esto no es un consejo de trading o inversión. Siempre haz tu investigación antes de comprar cualquier criptomoneda o invertir en cualquier servicio.
¡Síguenos en Twitter @themerklehash para mantenerte actualizado con las últimas noticias de Crypto, NFT, IA, Ciberseguridad y Metaverso!
El post ZKsync Confirma el Hackeo de la Cuenta Administrativa en el Contrato de Airdrop: ~$5M en Tokens ZK Comprometidos apareció primero en The Merkle News.
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
ZKsync Confirma el Hackeo de la Cuenta Administrativa en el Contrato de Airdrop: ~$5M en Tokens ZK Comprometidos
Una violación de seguridad en ZKsync, relacionada con uno de sus contratos de distribución de airdrop, ha resultado en la barrida no autorizada de aproximadamente $5 millones en tokens ZK.
Una declaración oficial del equipo de seguridad de ZKsync señaló que el ataque fue el resultado de una cuenta de administrador comprometida, dando al atacante acceso a los tokens de airdrop no reclamados.
El incidente ha sido representado como completamente contenido y aislado. ZKsync subrayó que en ningún momento se vieron afectados los fondos de los usuarios, y la infraestructura central—incluido el protocolo ZKsync, el contrato del token ZK y todos los contratos relacionados con la gobernanza—sigue siendo completamente segura. El asalto no afectó a ningún otro segmento del ecosistema más allá del contrato de distribución de airdrop.
La billetera que fue comprometida ha sido identificada como 0x842822c797049269A3c29464221995C56da5587D y se encontró que mantenía control a nivel de administrador sobre tres contratos de distribución de tokens que se utilizaron para distribuir tokens ZK como un airdrop. Usando este control, el atacante llamó a la función Soltar, lo que les permitió recibir y controlar aproximadamente 111 millones de tokens ZK que aún no habían sido reclamados por los destinatarios elegibles.
Impacto confinado al contrato de airdrop
Este evento de acuñación que tuvo lugar sin la debida autorización hizo que la oferta de tokens ZK en circulación se expandiera en aproximadamente un 0.45 por ciento. Aunque esta era una cantidad relativamente pequeña cuando se observa la totalidad de la oferta, el acontecimiento fue notable especialmente por lo que era y cuándo tuvo lugar. Los tokens en cuestión no estaban destinados a circular de esta manera, sino que estaban destinados a la distribución de airdrop.
ZKsync fue rápido en verificar que este es un incidente único y que la extensión completa de la explotación ya se ha desarrollado. Todos los tokens que podrían generarse a través de este método ya han sido generados, y la vulnerabilidad ha sido manejada. Ahora no hay una amenaza en curso, y el atacante no puede usar el mismo vector para la explotación nuevamente.
Es crucial entender que el protocolo ZKsync, el contrato del token ZK, los tres contratos de gobernanza y todos los minters limitados del Programa de Token no fueron comprometidos y están completamente funcionales. Este incidente no afecta las billeteras de los usuarios, la seguridad del protocolo ni la integridad del contrato del token.
La mayoría de los tokens robados aún están con el atacante. ZKsync comenzó un proceso de recuperación en colaboración con el grupo de seguridad blockchain SEAL 911 y varias exchanges. Estas exchanges ayudan a monitorear, rastrear y detener los fondos robados antes de que puedan ser blanqueados o vendidos. ZKsync ha invitado públicamente al atacante a contactarlos en security@zksync.io para negociar el regreso de los fondos robados y evitar una demanda.
Si bien el impacto financiero del incidente es relativamente contenido, amplifica preocupaciones más amplias sobre la gestión de claves privadas y la concesión de derechos administrativos en contratos inteligentes.
Cómo el atacante accedió a la clave de administrador comprometida sigue sin revelarse, sin embargo, ZKsync ha prometido a su comunidad que ahora es más seguro, que se está llevando a cabo una investigación interna y que estas medidas deberían prevenir que un evento similar ocurra nuevamente.
La comunidad cripto tiene sentimientos encontrados sobre la noticia. La preocupación se centra en la violación en sí; el alivio proviene del hecho de que parece no haber impactado a ninguno de los otros sistemas. ZKsync ha hecho un buen trabajo siendo transparente sobre lo que ocurrió. Es posible que gracias a esta transparencia, algo de buena publicidad pueda surgir del evento después de todo. Pero si la gente está gritando "beneficio de la retrospección" con respecto al acceso al airdrop de ZKsync, entonces se están acercando peligrosamente a ser críticos de la transparencia en cripto.
La confianza en el proceso de airdrop ha sufrido un golpe a corto plazo, pero parece que la seguridad y funcionalidad central de la plataforma ZKsync están intactas. La forma en que ZKsync manejó este evento—con una contención rápida, comunicación clara y un esfuerzo que pareció bien ensayado y ejecutado de manera colaborativa—sugiere que el protocolo está haciendo lo que necesita hacer para justificar la fe continua en el proyecto.
Divulgación: Esto no es un consejo de trading o inversión. Siempre haz tu investigación antes de comprar cualquier criptomoneda o invertir en cualquier servicio.
¡Síguenos en Twitter @themerklehash para mantenerte actualizado con las últimas noticias de Crypto, NFT, IA, Ciberseguridad y Metaverso!
El post ZKsync Confirma el Hackeo de la Cuenta Administrativa en el Contrato de Airdrop: ~$5M en Tokens ZK Comprometidos apareció primero en The Merkle News.