Uma violação de segurança na ZKsync, relacionada a um dos seus contratos de distribuição de airdrop, resultou na varredura não autorizada de cerca de $5 milhões em tokens ZK.
Uma declaração oficial da equipe de segurança da ZKsync observou que o ataque foi o resultado de uma conta de administrador comprometida, dando ao atacante acesso a tokens de airdrop não reclamados.
O incidente foi retratado como completamente contido e isolado. A ZKsync sublinhou que nenhum fundo de usuário foi afetado em nenhum momento, e a infraestrutura principal—incluindo o protocolo ZKsync, o contrato do token ZK e todos os contratos relacionados à governança—permanece totalmente segura. O ataque não afetou nenhum outro segmento do ecossistema além do contrato de distribuição de airdrop.
A carteira que foi comprometida foi identificada como 0x842822c797049269A3c29464221995C56da5587D e foi encontrada retendo controle em nível de administrador sobre três contratos de distribuição de tokens que foram usados para distribuir tokens ZK como um airdrop. Usando esse controle, o atacante chamou a função Gota, que lhes permitiu receber e controlar aproximadamente 111 milhões de tokens ZK que ainda não tinham sido reclamados pelos destinatários elegíveis.
Impacto Confined to Gota Contract
Este evento de cunhagem que ocorreu sem a devida autorização fez com que a oferta de tokens ZK em circulação fosse ampliada em aproximadamente 0,45 por cento. Embora este tenha sido um valor relativamente pequeno quando se considera a totalidade da oferta, o acontecimento foi notável, especialmente por causa do que foi e quando ocorreu. Os tokens em questão não eram destinados a circular desta forma, mas sim a serem distribuídos em airdrop.
A ZKsync foi rápida em verificar que este é um incidente único e que a extensão total da exploração já se desenrolou. Todos os tokens que poderiam ser gerados através deste método já foram gerados, e a vulnerabilidade foi tratada. Não há agora nenhuma ameaça em curso, e o atacante não pode usar o mesmo vetor para exploração novamente.
É crucial entender que o protocolo ZKsync, o contrato do token ZK, todos os três contratos de governança e todos os minters com limite do Programa de Token não foram comprometidos e estão totalmente funcionais. Este incidente não afeta as carteiras dos usuários, a segurança do protocolo ou a integridade do contrato do token.
A maioria dos tokens roubados ainda está com o atacante. A ZKsync iniciou um processo de recuperação em colaboração com o grupo de segurança blockchain SEAL 911 e várias exchanges. Essas exchanges ajudam a monitorar, rastrear e impedir que os fundos roubados sejam lavados ou vendidos. A ZKsync convidou publicamente o atacante a entrar em contato com eles pelo e-mail security@zksync.io para negociar a devolução dos fundos roubados e evitar um processo.
Embora o impacto financeiro do incidente esteja relativamente contido, ele amplifica preocupações mais amplas sobre a gestão de chaves privadas e a concessão de direitos administrativos em contratos inteligentes.
Como o atacante acessou a chave de administrador comprometida permanece não divulgado, no entanto, o ZKsync prometeu à sua comunidade que agora está mais seguro, que uma investigação interna está em andamento e que essas medidas devem prevenir a ocorrência de um evento semelhante novamente.
A comunidade cripto tem sentimentos mistos sobre a notícia. A preocupação centra-se na violação em si; o alívio vem do fato de que parece não ter impactado nenhum dos outros sistemas. A ZKsync fez um bom trabalho sendo transparente sobre o que aconteceu. É possível que, graças a essa transparência, alguma boa publicidade possa resultar do evento afinal. Mas se as pessoas estão gritando "benefício da retrospectiva" em relação ao acesso ao airdrop da ZKsync, então estão se aproximando perigosamente de serem críticos da transparência cripto.
A confiança no processo de Gota sofreu um impacto a curto prazo, mas parece que a segurança e a funcionalidade essenciais da plataforma ZKsync estão intactas. A forma como a ZKsync lidou com este evento—com contenção rápida, comunicação clara e um esforço que parecia bem ensaiado e executado em colaboração—sugere que o protocolo está a fazer o que precisa para justificar a continuidade da fé no projeto.
Divulgação: Isto não é um aconselhamento de negociação ou investimento. Faça sempre sua pesquisa antes de comprar qualquer criptomoeda ou investir em quaisquer serviços.
Siga-nos no Twitter @themerklehash para se manter atualizado com as últimas notícias sobre Crypto, NFT, IA, Cibersegurança e Metaverso!
O post ZKsync Confirma Hack de Conta Admin no Contrato de Airdrop: ~$5M em Tokens ZK Comprometidos apareceu primeiro no The Merkle News.
O conteúdo serve apenas de referência e não constitui uma solicitação ou oferta. Não é prestado qualquer aconselhamento em matéria de investimento, fiscal ou jurídica. Consulte a Declaração de exoneração de responsabilidade para obter mais informações sobre os riscos.
ZKsync Confirma Hack de Conta Administrativa em Contrato de Airdrop: ~$5M em Tokens ZK Comprometidos
Uma violação de segurança na ZKsync, relacionada a um dos seus contratos de distribuição de airdrop, resultou na varredura não autorizada de cerca de $5 milhões em tokens ZK.
Uma declaração oficial da equipe de segurança da ZKsync observou que o ataque foi o resultado de uma conta de administrador comprometida, dando ao atacante acesso a tokens de airdrop não reclamados.
O incidente foi retratado como completamente contido e isolado. A ZKsync sublinhou que nenhum fundo de usuário foi afetado em nenhum momento, e a infraestrutura principal—incluindo o protocolo ZKsync, o contrato do token ZK e todos os contratos relacionados à governança—permanece totalmente segura. O ataque não afetou nenhum outro segmento do ecossistema além do contrato de distribuição de airdrop.
A carteira que foi comprometida foi identificada como 0x842822c797049269A3c29464221995C56da5587D e foi encontrada retendo controle em nível de administrador sobre três contratos de distribuição de tokens que foram usados para distribuir tokens ZK como um airdrop. Usando esse controle, o atacante chamou a função Gota, que lhes permitiu receber e controlar aproximadamente 111 milhões de tokens ZK que ainda não tinham sido reclamados pelos destinatários elegíveis.
Impacto Confined to Gota Contract
Este evento de cunhagem que ocorreu sem a devida autorização fez com que a oferta de tokens ZK em circulação fosse ampliada em aproximadamente 0,45 por cento. Embora este tenha sido um valor relativamente pequeno quando se considera a totalidade da oferta, o acontecimento foi notável, especialmente por causa do que foi e quando ocorreu. Os tokens em questão não eram destinados a circular desta forma, mas sim a serem distribuídos em airdrop.
A ZKsync foi rápida em verificar que este é um incidente único e que a extensão total da exploração já se desenrolou. Todos os tokens que poderiam ser gerados através deste método já foram gerados, e a vulnerabilidade foi tratada. Não há agora nenhuma ameaça em curso, e o atacante não pode usar o mesmo vetor para exploração novamente.
É crucial entender que o protocolo ZKsync, o contrato do token ZK, todos os três contratos de governança e todos os minters com limite do Programa de Token não foram comprometidos e estão totalmente funcionais. Este incidente não afeta as carteiras dos usuários, a segurança do protocolo ou a integridade do contrato do token.
A maioria dos tokens roubados ainda está com o atacante. A ZKsync iniciou um processo de recuperação em colaboração com o grupo de segurança blockchain SEAL 911 e várias exchanges. Essas exchanges ajudam a monitorar, rastrear e impedir que os fundos roubados sejam lavados ou vendidos. A ZKsync convidou publicamente o atacante a entrar em contato com eles pelo e-mail security@zksync.io para negociar a devolução dos fundos roubados e evitar um processo.
Embora o impacto financeiro do incidente esteja relativamente contido, ele amplifica preocupações mais amplas sobre a gestão de chaves privadas e a concessão de direitos administrativos em contratos inteligentes.
Como o atacante acessou a chave de administrador comprometida permanece não divulgado, no entanto, o ZKsync prometeu à sua comunidade que agora está mais seguro, que uma investigação interna está em andamento e que essas medidas devem prevenir a ocorrência de um evento semelhante novamente.
A comunidade cripto tem sentimentos mistos sobre a notícia. A preocupação centra-se na violação em si; o alívio vem do fato de que parece não ter impactado nenhum dos outros sistemas. A ZKsync fez um bom trabalho sendo transparente sobre o que aconteceu. É possível que, graças a essa transparência, alguma boa publicidade possa resultar do evento afinal. Mas se as pessoas estão gritando "benefício da retrospectiva" em relação ao acesso ao airdrop da ZKsync, então estão se aproximando perigosamente de serem críticos da transparência cripto.
A confiança no processo de Gota sofreu um impacto a curto prazo, mas parece que a segurança e a funcionalidade essenciais da plataforma ZKsync estão intactas. A forma como a ZKsync lidou com este evento—com contenção rápida, comunicação clara e um esforço que parecia bem ensaiado e executado em colaboração—sugere que o protocolo está a fazer o que precisa para justificar a continuidade da fé no projeto.
Divulgação: Isto não é um aconselhamento de negociação ou investimento. Faça sempre sua pesquisa antes de comprar qualquer criptomoeda ou investir em quaisquer serviços.
Siga-nos no Twitter @themerklehash para se manter atualizado com as últimas notícias sobre Crypto, NFT, IA, Cibersegurança e Metaverso!
O post ZKsync Confirma Hack de Conta Admin no Contrato de Airdrop: ~$5M em Tokens ZK Comprometidos apareceu primeiro no The Merkle News.