Sebuah pelanggaran keamanan di ZKsync, terkait dengan salah satu kontrak distribusi airdrop-nya, telah mengakibatkan penyapuan tidak sah sebesar sekitar $5 juta dalam bentuk token ZK.
Pernyataan resmi dari tim keamanan ZKsync mencatat bahwa serangan tersebut adalah hasil dari akun admin yang dikompromikan, memberikan akses kepada penyerang untuk mengklaim token airdrop yang belum diambil.
Insiden tersebut telah digambarkan sebagai sepenuhnya terkontrol dan terisolasi. ZKsync menekankan bahwa tidak ada dana pengguna yang terpengaruh pada titik manapun, dan infrastruktur inti—termasuk protokol ZKsync, kontrak token ZK, dan semua kontrak terkait tata kelola—tetap sepenuhnya aman. Serangan tersebut tidak mempengaruhi segmen lain dari ekosistem di luar kontrak distribusi airdrop.
Dompet yang telah dikompromikan telah diidentifikasi sebagai 0x842822c797049269A3c29464221995C56da5587D dan ditemukan memiliki kontrol tingkat admin atas tiga kontrak distribusi token yang digunakan untuk mendistribusikan token ZK sebagai airdrop. Dengan menggunakan kontrol ini, penyerang memanggil fungsi sweep, yang memungkinkan mereka untuk menerima dan mengendalikan sekitar 111 juta token ZK yang belum diklaim oleh penerima yang memenuhi syarat.
Dampak Terbatas pada Kontrak Airdrop
Acara pencetakan ini yang berlangsung tanpa otorisasi yang tepat menyebabkan pasokan token ZK yang beredar meningkat sekitar 0,45 persen. Meskipun ini adalah jumlah yang relatif kecil jika dilihat dari total pasokan, kejadian ini patut dicatat terutama karena apa yang terjadi dan kapan itu terjadi. Token yang dimaksud tidak dimaksudkan untuk beredar dengan cara ini, tetapi malah ditujukan untuk distribusi airdrop.
ZKsync dengan cepat memverifikasi bahwa ini adalah insiden sekali saja dan bahwa seluruh dampak dari eksploitasi tersebut sudah terungkap. Semua token yang dapat dihasilkan melalui metode ini telah dihasilkan, dan kerentanannya telah ditangani. Saat ini tidak ada ancaman yang sedang berlangsung, dan penyerang tidak dapat menggunakan vektor yang sama untuk eksploitasi lagi.
Sangat penting untuk memahami bahwa protokol ZKsync, kontrak token ZK, ketiga kontrak tata kelola, dan semua pencetak terbatas Program Token tidak terganggu dan sepenuhnya berfungsi. Insiden ini tidak memengaruhi dompet pengguna, keamanan protokol, atau integritas kontrak token.
Sebagian besar token yang dicuri masih berada di tangan penyerang. ZKsync memulai proses pemulihan bekerja sama dengan kelompok keamanan blockchain SEAL 911 dan beberapa bursa. Bursa-bursa ini membantu memantau, melacak, dan menghentikan dana yang dicuri sebelum dapat dicuci atau dijual. ZKsync secara terbuka mengundang penyerang untuk menghubungi mereka di security@zksync.io untuk bernegosiasi mengenai pengembalian dana yang dicuri dan menghindari gugatan.
Sementara dampak finansial dari insiden ini relatif terkontrol, hal ini meningkatkan kekhawatiran yang lebih luas tentang pengelolaan kunci privat dan pemberian hak administratif dalam kontrak pintar.
Bagaimana penyerang mengakses kunci admin yang terkompromi tetap tidak diungkapkan, namun ZKsync telah berjanji kepada komunitasnya bahwa sekarang lebih aman, bahwa penyelidikan internal sedang berlangsung, dan bahwa langkah-langkah ini harus mencegah kejadian serupa terjadi lagi.
Komunitas kripto memiliki perasaan campur aduk tentang berita ini. Kekhawatiran terpusat pada pelanggaran itu sendiri; kelegaan datang dari fakta bahwa tampaknya hal itu tidak berdampak pada sistem lainnya. ZKsync telah melakukan pekerjaan yang baik dalam hal transparansi tentang apa yang terjadi. Ada kemungkinan bahwa berkat transparansi ini, beberapa PR baik mungkin muncul dari peristiwa ini. Namun, jika orang-orang berteriak "manfaat dari pandangan ke belakang" mengenai akses airdrop ZKsync, maka mereka sudah sangat dekat untuk menjadi kritikus transparansi kripto.
Kepercayaan dalam proses airdrop telah mengalami penurunan jangka pendek, tetapi tampaknya keamanan inti dan fungsionalitas platform ZKsync tetap utuh. Cara ZKsync menangani peristiwa ini—dengan penanganan yang cepat, komunikasi yang jelas, dan upaya yang tampak sudah dipersiapkan dengan baik dan dilakukan secara kolaboratif—menunjukkan bahwa protokol tersebut melakukan apa yang perlu dilakukan untuk membenarkan kepercayaan yang terus berlanjut terhadap proyek ini.
Pengungkapan: Ini bukan saran perdagangan atau investasi. Selalu lakukan riset Anda sebelum membeli cryptocurrency atau berinvestasi dalam layanan apa pun.
Ikuti kami di Twitter @themerklehash untuk tetap mendapatkan informasi terbaru tentang berita Crypto, NFT, AI, Keamanan Siber, dan Metaverse!
Posting ZKsync Mengonfirmasi Peretasan Akun Admin dalam Kontrak Airdrop: ~$5M Nilai Token ZK Terkompromikan muncul pertama kali di The Merkle News.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
ZKsync Mengonfirmasi Peretasan Akun Admin dalam Kontrak Airdrop: ~$5Juta Token ZK Terkompromi
Sebuah pelanggaran keamanan di ZKsync, terkait dengan salah satu kontrak distribusi airdrop-nya, telah mengakibatkan penyapuan tidak sah sebesar sekitar $5 juta dalam bentuk token ZK.
Pernyataan resmi dari tim keamanan ZKsync mencatat bahwa serangan tersebut adalah hasil dari akun admin yang dikompromikan, memberikan akses kepada penyerang untuk mengklaim token airdrop yang belum diambil.
Insiden tersebut telah digambarkan sebagai sepenuhnya terkontrol dan terisolasi. ZKsync menekankan bahwa tidak ada dana pengguna yang terpengaruh pada titik manapun, dan infrastruktur inti—termasuk protokol ZKsync, kontrak token ZK, dan semua kontrak terkait tata kelola—tetap sepenuhnya aman. Serangan tersebut tidak mempengaruhi segmen lain dari ekosistem di luar kontrak distribusi airdrop.
Dompet yang telah dikompromikan telah diidentifikasi sebagai 0x842822c797049269A3c29464221995C56da5587D dan ditemukan memiliki kontrol tingkat admin atas tiga kontrak distribusi token yang digunakan untuk mendistribusikan token ZK sebagai airdrop. Dengan menggunakan kontrol ini, penyerang memanggil fungsi sweep, yang memungkinkan mereka untuk menerima dan mengendalikan sekitar 111 juta token ZK yang belum diklaim oleh penerima yang memenuhi syarat.
Dampak Terbatas pada Kontrak Airdrop
Acara pencetakan ini yang berlangsung tanpa otorisasi yang tepat menyebabkan pasokan token ZK yang beredar meningkat sekitar 0,45 persen. Meskipun ini adalah jumlah yang relatif kecil jika dilihat dari total pasokan, kejadian ini patut dicatat terutama karena apa yang terjadi dan kapan itu terjadi. Token yang dimaksud tidak dimaksudkan untuk beredar dengan cara ini, tetapi malah ditujukan untuk distribusi airdrop.
ZKsync dengan cepat memverifikasi bahwa ini adalah insiden sekali saja dan bahwa seluruh dampak dari eksploitasi tersebut sudah terungkap. Semua token yang dapat dihasilkan melalui metode ini telah dihasilkan, dan kerentanannya telah ditangani. Saat ini tidak ada ancaman yang sedang berlangsung, dan penyerang tidak dapat menggunakan vektor yang sama untuk eksploitasi lagi.
Sangat penting untuk memahami bahwa protokol ZKsync, kontrak token ZK, ketiga kontrak tata kelola, dan semua pencetak terbatas Program Token tidak terganggu dan sepenuhnya berfungsi. Insiden ini tidak memengaruhi dompet pengguna, keamanan protokol, atau integritas kontrak token.
Sebagian besar token yang dicuri masih berada di tangan penyerang. ZKsync memulai proses pemulihan bekerja sama dengan kelompok keamanan blockchain SEAL 911 dan beberapa bursa. Bursa-bursa ini membantu memantau, melacak, dan menghentikan dana yang dicuri sebelum dapat dicuci atau dijual. ZKsync secara terbuka mengundang penyerang untuk menghubungi mereka di security@zksync.io untuk bernegosiasi mengenai pengembalian dana yang dicuri dan menghindari gugatan.
Sementara dampak finansial dari insiden ini relatif terkontrol, hal ini meningkatkan kekhawatiran yang lebih luas tentang pengelolaan kunci privat dan pemberian hak administratif dalam kontrak pintar.
Bagaimana penyerang mengakses kunci admin yang terkompromi tetap tidak diungkapkan, namun ZKsync telah berjanji kepada komunitasnya bahwa sekarang lebih aman, bahwa penyelidikan internal sedang berlangsung, dan bahwa langkah-langkah ini harus mencegah kejadian serupa terjadi lagi.
Komunitas kripto memiliki perasaan campur aduk tentang berita ini. Kekhawatiran terpusat pada pelanggaran itu sendiri; kelegaan datang dari fakta bahwa tampaknya hal itu tidak berdampak pada sistem lainnya. ZKsync telah melakukan pekerjaan yang baik dalam hal transparansi tentang apa yang terjadi. Ada kemungkinan bahwa berkat transparansi ini, beberapa PR baik mungkin muncul dari peristiwa ini. Namun, jika orang-orang berteriak "manfaat dari pandangan ke belakang" mengenai akses airdrop ZKsync, maka mereka sudah sangat dekat untuk menjadi kritikus transparansi kripto.
Kepercayaan dalam proses airdrop telah mengalami penurunan jangka pendek, tetapi tampaknya keamanan inti dan fungsionalitas platform ZKsync tetap utuh. Cara ZKsync menangani peristiwa ini—dengan penanganan yang cepat, komunikasi yang jelas, dan upaya yang tampak sudah dipersiapkan dengan baik dan dilakukan secara kolaboratif—menunjukkan bahwa protokol tersebut melakukan apa yang perlu dilakukan untuk membenarkan kepercayaan yang terus berlanjut terhadap proyek ini.
Pengungkapan: Ini bukan saran perdagangan atau investasi. Selalu lakukan riset Anda sebelum membeli cryptocurrency atau berinvestasi dalam layanan apa pun.
Ikuti kami di Twitter @themerklehash untuk tetap mendapatkan informasi terbaru tentang berita Crypto, NFT, AI, Keamanan Siber, dan Metaverse!
Posting ZKsync Mengonfirmasi Peretasan Akun Admin dalam Kontrak Airdrop: ~$5M Nilai Token ZK Terkompromikan muncul pertama kali di The Merkle News.