Нарушение безопасности в ZKsync, связанное с одним из его контрактов на распределение airdrop, привело к несанкционированному списанию около 5 миллионов долларов США в токенах ZK.
Официальное заявление команды безопасности ZKsync отметило, что атака была результатом компрометации учетной записи администратора, что дало злоумышленнику доступ к нераспределённым токенам аирдропа.
Инцидент был описан как полностью локализованный и изолированный. ZKsync подчеркнула, что никакие средства пользователей не были затронуты ни в один момент, а основная инфраструктура, включая протокол ZKsync, контракт токена ZK и все контракты, связанные с управлением, остается полностью защищенной. Атака не затронула ни один другой сегмент экосистемы, кроме контракта на дистрибуцию.
Был идентифицирован кошелек, который был скомпрометирован: 0x842822c797049269A3c29464221995C56da5587D, и было установлено, что он сохраняет административный уровень контроля над тремя контрактами на распределение токенов, которые использовались для распределения токенов ZK в качествеairdrop. Используя этот контроль, злоумышленник вызвал функцию sweep, что позволило им получить и контролировать примерно 111 миллионов токенов ZK, которые еще не были востребованы правомочными получателями.
Влияние ограничено контрактом на распределение
Это событие чеканки, которое произошло без надлежащего разрешения, привело к тому, что предложение ZK токенов в обращении увеличилось приблизительно на 0,45 процента. Хотя это была относительно небольшая сумма, если рассматривать общее количество предложения, данное событие было примечательным, особенно из-за того, что оно произошло и когда. Токены, о которых идет речь, не предназначались для обращения таким образом, а были предназначены для распределения через airdrop.
ZKsync быстро подтвердил, что это единичный инцидент и что все масштабы эксплуатации уже раскрыты. Все токены, которые могли быть сгенерированы таким образом, уже были сгенерированы, и уязвимость была устранена. В настоящее время нет продолжающейся угрозы, и злоумышленник не может больше использовать тот же вектор для эксплуатации.
Крайне важно понимать, что протокол ZKsync, контракт токена ZK, все три контракта управления и все ограниченные минтеры токенов не были скомпрометированы и полностью функциональны. Этот инцидент не затрагивает кошельки пользователей, безопасность протокола или целостность контракта токена.
Большинство украденных токенов все еще находятся у злоумышленника. ZKsync начала процесс восстановления в сотрудничестве с группой безопасности блокчейна SEAL 911 и несколькими биржами. Эти биржи помогают отслеживать, контролировать и останавливать украденные средства до того, как они будут отмыты или проданы. ZKsync публично пригласила злоумышленника связаться с ними по адресу security@zksync.io, чтобы договориться о возврате украденных средств и избежать судебного иска.
Хотя финансовые последствия инцидента относительно ограничены, это усиливает более широкие опасения по поводу управления приватными ключами и предоставления административных прав в смарт-контрактах.
Как злоумышленник получил доступ к скомпрометированному административному ключу, остается нераскрытым, однако ZKsync пообещал своему сообществу, что теперь он более безопасен, что проводится внутреннее расследование и что эти меры должны предотвратить повторение подобного инцидента.
Криптовалютное сообщество испытывает смешанные чувства по поводу новостей. Озабоченность сосредоточена на самом нарушении; облегчение приходит от того факта, что, похоже, это не повлияло на другие системы. ZKsync хорошо справилась с задачей быть прозрачной в том, что произошло. Возможно, благодаря этой прозрачности некоторые положительные PR могут возникнуть из этого события после всего. Но если люди кричат "польза от ретроспективы" относительно доступа к airdrop ZKsync, то они опасно близки к тому, чтобы стать критиками прозрачности криптовалют.
Доверие к процессу распределения токенов резко упало, но, похоже, что основная безопасность и функциональность платформы ZKsync остаются нетронутыми. То, как ZKsync справилась с этим событием — с быстрой локализацией, четкой коммуникацией и усилиями, которые казались хорошо отрепетированными и совместно выполненными — предполагает, что протокол делает то, что необходимо, чтобы оправдать продолжение веры в проект.
Раскрытие информации: Это не торговый или инвестиционный совет. Всегда проводите свои исследования перед покупкой любой криптовалюты или инвестированием в какие-либо услуги.
Подписывайтесь на нас в Twitter @themerklehash, чтобы быть в курсе последних новостей о криптовалюте, NFT, ИИ, кибербезопасности и метавселенной!
Пост ZKsync подтверждает взлом учетной записи администратора в контракте на airdrop: ~$5M в токенах ZK скомпрометированы, впервые появилась на The Merkle News.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
ZKsync Подтверждает Хак Администраторской Учетной Записи в Контракте Аирдропа: ~$5M Стоимость Токенов ZK Скомпрометирована
Нарушение безопасности в ZKsync, связанное с одним из его контрактов на распределение airdrop, привело к несанкционированному списанию около 5 миллионов долларов США в токенах ZK.
Официальное заявление команды безопасности ZKsync отметило, что атака была результатом компрометации учетной записи администратора, что дало злоумышленнику доступ к нераспределённым токенам аирдропа.
Инцидент был описан как полностью локализованный и изолированный. ZKsync подчеркнула, что никакие средства пользователей не были затронуты ни в один момент, а основная инфраструктура, включая протокол ZKsync, контракт токена ZK и все контракты, связанные с управлением, остается полностью защищенной. Атака не затронула ни один другой сегмент экосистемы, кроме контракта на дистрибуцию.
Был идентифицирован кошелек, который был скомпрометирован: 0x842822c797049269A3c29464221995C56da5587D, и было установлено, что он сохраняет административный уровень контроля над тремя контрактами на распределение токенов, которые использовались для распределения токенов ZK в качествеairdrop. Используя этот контроль, злоумышленник вызвал функцию sweep, что позволило им получить и контролировать примерно 111 миллионов токенов ZK, которые еще не были востребованы правомочными получателями.
Влияние ограничено контрактом на распределение
Это событие чеканки, которое произошло без надлежащего разрешения, привело к тому, что предложение ZK токенов в обращении увеличилось приблизительно на 0,45 процента. Хотя это была относительно небольшая сумма, если рассматривать общее количество предложения, данное событие было примечательным, особенно из-за того, что оно произошло и когда. Токены, о которых идет речь, не предназначались для обращения таким образом, а были предназначены для распределения через airdrop.
ZKsync быстро подтвердил, что это единичный инцидент и что все масштабы эксплуатации уже раскрыты. Все токены, которые могли быть сгенерированы таким образом, уже были сгенерированы, и уязвимость была устранена. В настоящее время нет продолжающейся угрозы, и злоумышленник не может больше использовать тот же вектор для эксплуатации.
Крайне важно понимать, что протокол ZKsync, контракт токена ZK, все три контракта управления и все ограниченные минтеры токенов не были скомпрометированы и полностью функциональны. Этот инцидент не затрагивает кошельки пользователей, безопасность протокола или целостность контракта токена.
Большинство украденных токенов все еще находятся у злоумышленника. ZKsync начала процесс восстановления в сотрудничестве с группой безопасности блокчейна SEAL 911 и несколькими биржами. Эти биржи помогают отслеживать, контролировать и останавливать украденные средства до того, как они будут отмыты или проданы. ZKsync публично пригласила злоумышленника связаться с ними по адресу security@zksync.io, чтобы договориться о возврате украденных средств и избежать судебного иска.
Хотя финансовые последствия инцидента относительно ограничены, это усиливает более широкие опасения по поводу управления приватными ключами и предоставления административных прав в смарт-контрактах.
Как злоумышленник получил доступ к скомпрометированному административному ключу, остается нераскрытым, однако ZKsync пообещал своему сообществу, что теперь он более безопасен, что проводится внутреннее расследование и что эти меры должны предотвратить повторение подобного инцидента.
Криптовалютное сообщество испытывает смешанные чувства по поводу новостей. Озабоченность сосредоточена на самом нарушении; облегчение приходит от того факта, что, похоже, это не повлияло на другие системы. ZKsync хорошо справилась с задачей быть прозрачной в том, что произошло. Возможно, благодаря этой прозрачности некоторые положительные PR могут возникнуть из этого события после всего. Но если люди кричат "польза от ретроспективы" относительно доступа к airdrop ZKsync, то они опасно близки к тому, чтобы стать критиками прозрачности криптовалют.
Доверие к процессу распределения токенов резко упало, но, похоже, что основная безопасность и функциональность платформы ZKsync остаются нетронутыми. То, как ZKsync справилась с этим событием — с быстрой локализацией, четкой коммуникацией и усилиями, которые казались хорошо отрепетированными и совместно выполненными — предполагает, что протокол делает то, что необходимо, чтобы оправдать продолжение веры в проект.
Раскрытие информации: Это не торговый или инвестиционный совет. Всегда проводите свои исследования перед покупкой любой криптовалюты или инвестированием в какие-либо услуги.
Подписывайтесь на нас в Twitter @themerklehash, чтобы быть в курсе последних новостей о криптовалюте, NFT, ИИ, кибербезопасности и метавселенной!
Пост ZKsync подтверждает взлом учетной записи администратора в контракте на airdrop: ~$5M в токенах ZK скомпрометированы, впервые появилась на The Merkle News.