Рішення з масштабування Ethereum другого рівня zkSync зазнало великої витоку безпеки 15 квітня 2025 року. Гаманцем адміністратора, що керує процесом airdrop протоколу, заволоділи зловмисники. Нападник експлуатував функцію смарт-контракту під назвою “sweepUnclaimed()”, випустивши в загальному 111 мільйонів токенів ZK та привласнивши активи на суму близько 5 мільйонів доларів. Ця сума становить приблизно 0,45% від загальної пропозиції ZK.
Після інциденту команда zkSync швидко втрутилася разом із партнером з безпеки SEAL. Після події команда розробників zkSync розпочала операцію з порятунку спільно з партнером з безпеки SEAL. У заяві команди зазначено, що атака обмежилася лише адміністративним гаманцем, і фонди користувачів не постраждали безпосередньо. Було проведено аудит контрактів на airdrop, і функцію “sweepUnclaimed()” було назавжди деактивовано.
Оновлення: розслідування виявило, що обліковий запис, який був адміністратором трьох контрактів на розподіл аірдропу, був скомпрометований. Адреса скомпрометованого облікового запису - 0x842822c797049269A3c29464221995C56da5587D.
Атакуючий викликав функцію sweepUnclaimed(), яка…
— ZKsync (∎, ∆) (@zksync) 15 квітня 2025 року
Після атаки ціна токена ZK швидко знизилася на 18% до 0,040 долара, але протягом дня трохи відновилася, торгуючись у діапазоні 0,046–0,047 долара. Ця подія ще раз підняла питання безпеки адміністраторського доступу в протоколах другого рівня та прозорості механізмів airdrop.
Однак наприкінці процесу відбулася несподівана подія. Після того, як команда zkSync прийняла пропозицію "бонус" (нагорода) хакеру, зловмисник повернув 90% викрадених токенів. Це повернення було здійснено 23 квітня в три окремі транзакції на гаманці Ради безпеки ZKsync. Хакер отримав залишок під маркою "білий капелюх" як нагороду.
Загальна вартість повернених активів досягла навіть вищого рівня, ніж під час атаки, завдяки зростанню цін на ETH та ZK з моменту події. zkSync оголосив, що готується остаточний технічний звіт щодо інциденту, який буде детально поділений з громадськістю. Загальна думка в громаді полягає в тому, що завдяки прозорій комунікації команди zkSync та гнучкому управлінню кризою вдалося запобігти більшій кризі довіри. Повернення коштів та вибір шляху до компромісу з хакером створили приклад «етичного хакінгу» для подібних ситуацій. Проте цей інцидент ще раз продемонстрував, як структури з високим рівнем централізації можуть нести додаткові ризики в межах відкритих фінансових систем.
Ця стаття не містить інвестиційних порад або рекомендацій. Кожна інвестиція та торгівельна операція несе ризики, і читачі повинні проводити власні дослідження перед ухваленням рішень.
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
ZKsync врятував токени на суму 5 мільйонів доларів, які були вкрадені.
Рішення з масштабування Ethereum другого рівня zkSync зазнало великої витоку безпеки 15 квітня 2025 року. Гаманцем адміністратора, що керує процесом airdrop протоколу, заволоділи зловмисники. Нападник експлуатував функцію смарт-контракту під назвою “sweepUnclaimed()”, випустивши в загальному 111 мільйонів токенів ZK та привласнивши активи на суму близько 5 мільйонів доларів. Ця сума становить приблизно 0,45% від загальної пропозиції ZK.
Після інциденту команда zkSync швидко втрутилася разом із партнером з безпеки SEAL. Після події команда розробників zkSync розпочала операцію з порятунку спільно з партнером з безпеки SEAL. У заяві команди зазначено, що атака обмежилася лише адміністративним гаманцем, і фонди користувачів не постраждали безпосередньо. Було проведено аудит контрактів на airdrop, і функцію “sweepUnclaimed()” було назавжди деактивовано.
Атакуючий викликав функцію sweepUnclaimed(), яка…
Після атаки ціна токена ZK швидко знизилася на 18% до 0,040 долара, але протягом дня трохи відновилася, торгуючись у діапазоні 0,046–0,047 долара. Ця подія ще раз підняла питання безпеки адміністраторського доступу в протоколах другого рівня та прозорості механізмів airdrop.
Однак наприкінці процесу відбулася несподівана подія. Після того, як команда zkSync прийняла пропозицію "бонус" (нагорода) хакеру, зловмисник повернув 90% викрадених токенів. Це повернення було здійснено 23 квітня в три окремі транзакції на гаманці Ради безпеки ZKsync. Хакер отримав залишок під маркою "білий капелюх" як нагороду.
Загальна вартість повернених активів досягла навіть вищого рівня, ніж під час атаки, завдяки зростанню цін на ETH та ZK з моменту події. zkSync оголосив, що готується остаточний технічний звіт щодо інциденту, який буде детально поділений з громадськістю. Загальна думка в громаді полягає в тому, що завдяки прозорій комунікації команди zkSync та гнучкому управлінню кризою вдалося запобігти більшій кризі довіри. Повернення коштів та вибір шляху до компромісу з хакером створили приклад «етичного хакінгу» для подібних ситуацій. Проте цей інцидент ще раз продемонстрував, як структури з високим рівнем централізації можуть нести додаткові ризики в межах відкритих фінансових систем.
Ця стаття не містить інвестиційних порад або рекомендацій. Кожна інвестиція та торгівельна операція несе ризики, і читачі повинні проводити власні дослідження перед ухваленням рішень.