La solution de mise à l'échelle de niveau 2 Ethereum, zkSync, a été secouée par une violation de sécurité majeure le 15 avril 2025. Un portefeuille administrateur gérant le processus d'airdrop du protocole a été pris en otage par des personnes malveillantes. L'attaquant a exploité la fonction de contrat intelligent appelée "sweepUnclaimed()" pour frapper un total de 111 millions de ZK tokens et a détourné des actifs d'une valeur d'environ 5 millions de dollars. Ce montant représente environ 0,45 % de l'offre totale de ZK.
Après l'incident, l'équipe zkSync a rapidement intervenu avec son partenaire de sécurité SEAL. Suite à l'incident, l'équipe de développement zkSync a lancé une opération de récupération en collaboration avec son partenaire de sécurité SEAL. Dans une déclaration de l'équipe, il a été précisé que l'attaque était limitée au portefeuille administrateur et que les fonds des utilisateurs n'étaient pas directement affectés. Les contrats associés à l'Airdrop ont été vérifiés et la fonction "sweepUnclaimed()" a été désactivée de manière permanente.
Mise à jour : l'enquête a révélé que le compte qui était l'administrateur des trois contrats de distribution d'airdrop avait été compromis. L'adresse du compte compromis est 0x842822c797049269A3c29464221995C56da5587D.
L'attaquant a appelé la fonction sweepUnclaimed() qui...
— ZKsync (∎, ∆) (@zksync) 15 avril 2025
Après l'attaque, le prix du token ZK a chuté de 18 % en peu de temps pour atteindre 0,040 dollars, mais a légèrement rebondi au cours de la journée, se négociant entre 0,046 et 0,047 dollars. Cet événement a de nouveau soulevé la question de la sécurité de l'accès administratif dans les protocoles de couche 2 et de la transparence des mécanismes d'airdrop.
Cependant, à la fin du processus, un développement inattendu s'est produit. Après que l'équipe de zkSync a proposé au hacker un « bounty » ( récompense ), l'attaquant a restitué 90 % des tokens volés. Ce remboursement a été effectué en trois transactions distinctes le 23 avril vers le portefeuille du Conseil de Sécurité ZKsync. Le hacker a reçu le reste sous l'étiquette « chapeau blanc » en tant que récompense.
La valeur totale des actifs récupérés a atteint un niveau encore plus élevé qu’au moment de l’attaque, grâce à l’augmentation des prix de l’ETH et du ZK depuis l’incident. zkSync a annoncé qu’un rapport technique final sur l’incident est en cours de préparation et qu’il sera partagé avec la communauté en détail. Le consensus général au sein de la communauté est que la communication transparente et la gestion de crise flexible de l’équipe zkSync ont permis d’éviter une crise de confiance plus importante. La récupération des fonds et la préférence pour la réconciliation avec le hacker ont créé un scénario exemplaire de « piratage éthique » pour des situations similaires. Cependant, cet incident a une fois de plus révélé à quel point les structures hautement centralisées peuvent abriter des risques supplémentaires au sein des systèmes financiers open source.
Cet article ne contient pas de conseils ou de recommandations en matière d'investissement. Chaque mouvement d'investissement et de trading comporte des risques et les lecteurs doivent faire leurs propres recherches avant de prendre des décisions.
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
ZKsync a récupéré un jeton volé d'une valeur de 5 millions de dollars.
La solution de mise à l'échelle de niveau 2 Ethereum, zkSync, a été secouée par une violation de sécurité majeure le 15 avril 2025. Un portefeuille administrateur gérant le processus d'airdrop du protocole a été pris en otage par des personnes malveillantes. L'attaquant a exploité la fonction de contrat intelligent appelée "sweepUnclaimed()" pour frapper un total de 111 millions de ZK tokens et a détourné des actifs d'une valeur d'environ 5 millions de dollars. Ce montant représente environ 0,45 % de l'offre totale de ZK.
Après l'incident, l'équipe zkSync a rapidement intervenu avec son partenaire de sécurité SEAL. Suite à l'incident, l'équipe de développement zkSync a lancé une opération de récupération en collaboration avec son partenaire de sécurité SEAL. Dans une déclaration de l'équipe, il a été précisé que l'attaque était limitée au portefeuille administrateur et que les fonds des utilisateurs n'étaient pas directement affectés. Les contrats associés à l'Airdrop ont été vérifiés et la fonction "sweepUnclaimed()" a été désactivée de manière permanente.
Après l'attaque, le prix du token ZK a chuté de 18 % en peu de temps pour atteindre 0,040 dollars, mais a légèrement rebondi au cours de la journée, se négociant entre 0,046 et 0,047 dollars. Cet événement a de nouveau soulevé la question de la sécurité de l'accès administratif dans les protocoles de couche 2 et de la transparence des mécanismes d'airdrop.
Cependant, à la fin du processus, un développement inattendu s'est produit. Après que l'équipe de zkSync a proposé au hacker un « bounty » ( récompense ), l'attaquant a restitué 90 % des tokens volés. Ce remboursement a été effectué en trois transactions distinctes le 23 avril vers le portefeuille du Conseil de Sécurité ZKsync. Le hacker a reçu le reste sous l'étiquette « chapeau blanc » en tant que récompense.
La valeur totale des actifs récupérés a atteint un niveau encore plus élevé qu’au moment de l’attaque, grâce à l’augmentation des prix de l’ETH et du ZK depuis l’incident. zkSync a annoncé qu’un rapport technique final sur l’incident est en cours de préparation et qu’il sera partagé avec la communauté en détail. Le consensus général au sein de la communauté est que la communication transparente et la gestion de crise flexible de l’équipe zkSync ont permis d’éviter une crise de confiance plus importante. La récupération des fonds et la préférence pour la réconciliation avec le hacker ont créé un scénario exemplaire de « piratage éthique » pour des situations similaires. Cependant, cet incident a une fois de plus révélé à quel point les structures hautement centralisées peuvent abriter des risques supplémentaires au sein des systèmes financiers open source.
Cet article ne contient pas de conseils ou de recommandations en matière d'investissement. Chaque mouvement d'investissement et de trading comporte des risques et les lecteurs doivent faire leurs propres recherches avant de prendre des décisions.