Порушення безпеки на ZKsync, пов'язане з одним з контрактів на розподіл airdrop, призвело до несанкціонованого вилучення приблизно $5 мільйонів вартості токенів ZK.
Офіційна заява команди безпеки ZKsync зазначила, що атака стала наслідком компрометації адміністративного облікового запису, що надало зловмиснику доступ до невитрачених токенів аірдропу.
Інцидент був зображений як повністюcontained та ізольований. ZKsync підкреслив, що жодні кошти користувачів не були під загрозою в будь-який момент, і основна інфраструктура—включаючи протокол ZKsync, контракт токена ZK та всі контракти, пов'язані з управлінням—залишається абсолютно безпечною. Напад не вплинув на жоден інший сегмент екосистеми, окрім контракту на розподіл airdrop.
Гаманець, який був скомпрометований, був ідентифікований як 0x842822c797049269A3c29464221995C56da5587D і було виявлено, що він зберігає адміністративний контроль над трьома контрактами розподілу токенів, які використовувалися для розподілу ZK токенів у вигляді аірдропу. Використовуючи цей контроль, зловмисник викликав функцію sweep, що дозволило йому отримати та контролювати приблизно 111 мільйонів ZK токенів, які ще не були заявлені відповідними одержувачами.
Вплив обмежений контрактом на розподіл
Ця подія карбування, яка відбулася без належного дозволу, призвела до того, що обіг ZK токенів зріс приблизно на 0,45 відсотка. Хоча це була відносно невелика сума, якщо дивитися на загальну кількість постачання, подія була значною, особливо через те, що це було і коли це сталося. Токени, про які йдеться, не призначалися для обігу в такий спосіб, а були призначені для розподілу через аірдроп.
ZKsync швидко підтвердив, що це одноразовий інцидент, і що повний обсяг експлуатації вже розгорнувся. Усі токени, які можна було згенерувати цим методом, вже були згенеровані, і вразливість була усунута. Тепер немає жодної загрози, яка триває, і зловмисник більше не може використовувати той же вектор для експлуатації.
Важливо розуміти, що протокол ZKsync, контракт токена ZK, всі три контракти управління та всі обмежені мінітери програми токенів не були скомпрометовані і повністю функціонують. Цей інцидент не впливає на гаманці користувачів, безпеку протоколу чи цілісність контракту токена.
Більшість викрадених токенів все ще у нападника. ZKsync розпочав процес відновлення у співпраці з групою безпеки блокчейну SEAL 911 та кількома біржами. Ці біржі допомагають моніторити, відстежувати та зупиняти викрадені кошти, перш ніж їх можна буде відмити або продати. ZKsync публічно запросив нападника зв’язатися з ними за адресою security@zksync.io, щоб домовитися про повернення викрадених коштів і уникнути позову.
Хоча фінансовий вплив інциденту відносно обмежений, він посилює більш широкі занепокоєння щодо управління приватними ключами та надання адміністративних прав у смарт-контрактах.
Як зловмисник отримав доступ до скомпрометованого адміністративного ключа, залишається невідомим, проте ZKsync пообіцяв своїй спільноті, що зараз він більш безпечний, що внутрішнє розслідування триває, і що ці заходи повинні запобігти повторенню подібної події.
Крипто-спільнота має змішані почуття з приводу новин. Занепокоєння викликане самим витоком; полегшення викликане тим, що, здається, він не вплинув на жодну з інших систем. ZKsync добре впорався з прозорістю того, що сталося. Можливо, завдяки цій прозорості, з події все ж може вийти хороший PR. Але якщо люди кричать "перевага зворотного зв'язку" щодо доступу до airdrop ZKsync, то вони наближаються до того, щоб стати критиками прозорості криптовалюти.
Довіра до процесу airdrop зазнала короткочасного падіння, але, здається, основна безпека та функціональність платформи ZKsync залишилися недоторканими. Той спосіб, яким ZKsync впорався з цим випадком—з швидким обмеженням, чітким спілкуванням і зусиллями, які здавалися добре відрепетированими та виконаними спільно—свідчить про те, що протокол робить те, що потрібно, щоб виправдати подальшу віру в проект.
Розкриття: Це не є порадою щодо торгівлі або інвестицій. Завжди проводьте власне дослідження перед покупкою будь-якої криптовалюти або інвестуванням у будь-які послуги.
Слідкуйте за нами в Twitter @themerklehash, щоб бути в курсі останніх новин про криптовалюти, NFT, AI, кібербезпеку та метавсесвіт!
Повідомлення ZKsync підтверджує злом адміністративного акаунту в контракті Airdrop: ~$5M вартості ZK токенів скомпрометовано вперше з'явилося в новинах The Merkle.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
ZKsync підтверджує злом адміністративного облікового запису в контракті Аірдропу: ~$5M вартості ZK Токенів скомпрометовано
Порушення безпеки на ZKsync, пов'язане з одним з контрактів на розподіл airdrop, призвело до несанкціонованого вилучення приблизно $5 мільйонів вартості токенів ZK.
Офіційна заява команди безпеки ZKsync зазначила, що атака стала наслідком компрометації адміністративного облікового запису, що надало зловмиснику доступ до невитрачених токенів аірдропу.
Інцидент був зображений як повністюcontained та ізольований. ZKsync підкреслив, що жодні кошти користувачів не були під загрозою в будь-який момент, і основна інфраструктура—включаючи протокол ZKsync, контракт токена ZK та всі контракти, пов'язані з управлінням—залишається абсолютно безпечною. Напад не вплинув на жоден інший сегмент екосистеми, окрім контракту на розподіл airdrop.
Гаманець, який був скомпрометований, був ідентифікований як 0x842822c797049269A3c29464221995C56da5587D і було виявлено, що він зберігає адміністративний контроль над трьома контрактами розподілу токенів, які використовувалися для розподілу ZK токенів у вигляді аірдропу. Використовуючи цей контроль, зловмисник викликав функцію sweep, що дозволило йому отримати та контролювати приблизно 111 мільйонів ZK токенів, які ще не були заявлені відповідними одержувачами.
Вплив обмежений контрактом на розподіл
Ця подія карбування, яка відбулася без належного дозволу, призвела до того, що обіг ZK токенів зріс приблизно на 0,45 відсотка. Хоча це була відносно невелика сума, якщо дивитися на загальну кількість постачання, подія була значною, особливо через те, що це було і коли це сталося. Токени, про які йдеться, не призначалися для обігу в такий спосіб, а були призначені для розподілу через аірдроп.
ZKsync швидко підтвердив, що це одноразовий інцидент, і що повний обсяг експлуатації вже розгорнувся. Усі токени, які можна було згенерувати цим методом, вже були згенеровані, і вразливість була усунута. Тепер немає жодної загрози, яка триває, і зловмисник більше не може використовувати той же вектор для експлуатації.
Важливо розуміти, що протокол ZKsync, контракт токена ZK, всі три контракти управління та всі обмежені мінітери програми токенів не були скомпрометовані і повністю функціонують. Цей інцидент не впливає на гаманці користувачів, безпеку протоколу чи цілісність контракту токена.
Більшість викрадених токенів все ще у нападника. ZKsync розпочав процес відновлення у співпраці з групою безпеки блокчейну SEAL 911 та кількома біржами. Ці біржі допомагають моніторити, відстежувати та зупиняти викрадені кошти, перш ніж їх можна буде відмити або продати. ZKsync публічно запросив нападника зв’язатися з ними за адресою security@zksync.io, щоб домовитися про повернення викрадених коштів і уникнути позову.
Хоча фінансовий вплив інциденту відносно обмежений, він посилює більш широкі занепокоєння щодо управління приватними ключами та надання адміністративних прав у смарт-контрактах.
Як зловмисник отримав доступ до скомпрометованого адміністративного ключа, залишається невідомим, проте ZKsync пообіцяв своїй спільноті, що зараз він більш безпечний, що внутрішнє розслідування триває, і що ці заходи повинні запобігти повторенню подібної події.
Крипто-спільнота має змішані почуття з приводу новин. Занепокоєння викликане самим витоком; полегшення викликане тим, що, здається, він не вплинув на жодну з інших систем. ZKsync добре впорався з прозорістю того, що сталося. Можливо, завдяки цій прозорості, з події все ж може вийти хороший PR. Але якщо люди кричать "перевага зворотного зв'язку" щодо доступу до airdrop ZKsync, то вони наближаються до того, щоб стати критиками прозорості криптовалюти.
Довіра до процесу airdrop зазнала короткочасного падіння, але, здається, основна безпека та функціональність платформи ZKsync залишилися недоторканими. Той спосіб, яким ZKsync впорався з цим випадком—з швидким обмеженням, чітким спілкуванням і зусиллями, які здавалися добре відрепетированими та виконаними спільно—свідчить про те, що протокол робить те, що потрібно, щоб виправдати подальшу віру в проект.
Розкриття: Це не є порадою щодо торгівлі або інвестицій. Завжди проводьте власне дослідження перед покупкою будь-якої криптовалюти або інвестуванням у будь-які послуги.
Слідкуйте за нами в Twitter @themerklehash, щоб бути в курсі останніх новин про криптовалюти, NFT, AI, кібербезпеку та метавсесвіт!
Повідомлення ZKsync підтверджує злом адміністративного акаунту в контракті Airdrop: ~$5M вартості ZK токенів скомпрометовано вперше з'явилося в новинах The Merkle.