Một vụ vi phạm bảo mật tại ZKsync, liên quan đến một trong những hợp đồng phân phối airdrop của nó, đã dẫn đến việc quét trái phép khoảng 5 triệu đô la giá trị token ZK.
Một tuyên bố chính thức từ đội ngũ an ninh ZKsync cho biết rằng cuộc tấn công là kết quả của một tài khoản quản trị bị xâm phạm, cho phép kẻ tấn công truy cập vào các token airdrop chưa được nhận.
Sự cố đã được mô tả là hoàn toàn được kiểm soát và cô lập. ZKsync nhấn mạnh rằng không có quỹ của người dùng nào bị ảnh hưởng vào bất kỳ thời điểm nào, và cơ sở hạ tầng cốt lõi—bao gồm giao thức ZKsync, hợp đồng token ZK, và tất cả các hợp đồng liên quan đến quản trị—vẫn hoàn toàn an toàn. Cuộc tấn công không ảnh hưởng đến bất kỳ phân khúc nào khác của hệ sinh thái ngoài hợp đồng phân phối airdrop.
Ví đã bị xâm phạm đã được xác định là 0x842822c797049269A3c29464221995C56da5587D và được phát hiện giữ quyền kiểm soát cấp admin đối với ba hợp đồng phân phối token đã được sử dụng để phân phối token ZK dưới dạng airdrop. Sử dụng quyền kiểm soát này, kẻ tấn công đã gọi hàm sweep, cho phép họ nhận và kiểm soát khoảng 111 triệu token ZK chưa được yêu cầu bởi các người nhận đủ điều kiện.
Tác động bị giới hạn trong hợp đồng Thả
Sự kiện phát hành này diễn ra mà không có sự ủy quyền thích hợp đã dẫn đến việc cung ứng các token ZK đang lưu hành tăng khoảng 0,45 phần trăm. Mặc dù đây là một lượng tương đối nhỏ khi nhìn vào tổng thể cung ứng, nhưng sự kiện này đáng chú ý, đặc biệt là vì bản chất của nó và thời điểm diễn ra. Các token liên quan không được dự định lưu hành theo cách này mà thay vào đó được định sẵn để phân phối airdrop.
ZKsync đã nhanh chóng xác nhận rằng đây là một sự cố một lần và rằng mức độ của lỗ hổng đã được phơi bày hoàn toàn. Tất cả các token có thể được tạo ra thông qua phương pháp này đã được tạo ra, và lỗ hổng đã được xử lý. Hiện không còn mối đe dọa nào đang tồn tại, và kẻ tấn công không thể sử dụng cùng một vector để khai thác nữa.
Điều quan trọng là phải hiểu rằng giao thức ZKsync, hợp đồng token ZK, tất cả ba hợp đồng quản trị và tất cả các thợ đào giới hạn của Chương trình Token đều không bị xâm phạm và hoàn toàn hoạt động. Sự cố này không ảnh hưởng đến ví người dùng, bảo mật giao thức, hoặc tính toàn vẹn của hợp đồng token.
Phần lớn các token bị đánh cắp vẫn nằm trong tay kẻ tấn công. ZKsync đã bắt đầu một quy trình phục hồi hợp tác với nhóm an ninh blockchain SEAL 911 và một số sàn giao dịch. Những sàn giao dịch này giúp theo dõi, truy tìm và ngăn chặn các quỹ bị đánh cắp trước khi chúng có thể bị rửa tiền hoặc bán. ZKsync đã công khai mời kẻ tấn công liên hệ với họ tại security@zksync.io để thương lượng việc trả lại các quỹ bị đánh cắp và tránh một vụ kiện.
Mặc dù tác động tài chính của sự cố này tương đối được kiểm soát, nhưng nó làm tăng lo ngại rộng rãi về việc quản lý khóa riêng và trao quyền quản trị trong hợp đồng thông minh.
Cách mà kẻ tấn công truy cập vào khóa quản trị đã bị xâm phạm vẫn chưa được công bố, nhưng ZKsync đã hứa với cộng đồng của mình rằng giờ đây nó an toàn hơn, rằng một cuộc điều tra nội bộ đang diễn ra, và rằng những biện pháp này nên ngăn chặn một sự kiện tương tự xảy ra lần nữa.
Cộng đồng tiền điện tử có cảm xúc trái chiều về tin tức này. Mối quan tâm tập trung vào chính vụ vi phạm; sự nhẹ nhõm đến từ thực tế rằng nó dường như không ảnh hưởng đến bất kỳ hệ thống nào khác. ZKsync đã làm rất tốt trong việc minh bạch về những gì đã xảy ra. Có thể nhờ vào sự minh bạch này, một số PR tốt có thể phát sinh từ sự kiện sau tất cả. Nhưng nếu mọi người đang kêu gọi "lợi ích của sự nhìn nhận muộn màng" liên quan đến quyền truy cập airdrop của ZKsync, thì họ đang ngày càng tiến gần đến việc trở thành những người chỉ trích sự minh bạch của tiền điện tử.
Niềm tin vào quá trình airdrop đã bị ảnh hưởng trong ngắn hạn, nhưng có vẻ như an ninh và chức năng cốt lõi của nền tảng ZKsync vẫn được giữ nguyên. Cách ZKsync xử lý sự kiện này—với việc kiểm soát nhanh chóng, giao tiếp rõ ràng và một nỗ lực có vẻ đã được chuẩn bị kỹ lưỡng và thực hiện hợp tác—cho thấy giao thức đang làm những gì cần thiết để biện minh cho niềm tin tiếp tục vào dự án.
Công bố: Đây không phải là lời khuyên về giao dịch hoặc đầu tư. Luôn nghiên cứu trước khi mua bất kỳ loại tiền điện tử nào hoặc đầu tư vào bất kỳ dịch vụ nào.
Theo dõi chúng tôi trên Twitter @themerklehash để cập nhật những tin tức mới nhất về Crypto, NFT, AI, An ninh mạng và Metaverse!
Bài viết ZKsync Xác Nhận Tài Khoản Quản Trị Bị Hack Trong Hợp Đồng Airdrop: ~$5M Giá Trị Các Token ZK Bị Xâm Phạm Xuất Hiện Đầu Tiên Trên The Merkle News.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
ZKsync Xác Nhận Tài Khoản Quản Trị Bị Hack Trong Hợp Đồng Airdrop: ~$5M Giá Trị Của Các TOKEN ZK Bị Xâm Nhập
Một vụ vi phạm bảo mật tại ZKsync, liên quan đến một trong những hợp đồng phân phối airdrop của nó, đã dẫn đến việc quét trái phép khoảng 5 triệu đô la giá trị token ZK.
Một tuyên bố chính thức từ đội ngũ an ninh ZKsync cho biết rằng cuộc tấn công là kết quả của một tài khoản quản trị bị xâm phạm, cho phép kẻ tấn công truy cập vào các token airdrop chưa được nhận.
Sự cố đã được mô tả là hoàn toàn được kiểm soát và cô lập. ZKsync nhấn mạnh rằng không có quỹ của người dùng nào bị ảnh hưởng vào bất kỳ thời điểm nào, và cơ sở hạ tầng cốt lõi—bao gồm giao thức ZKsync, hợp đồng token ZK, và tất cả các hợp đồng liên quan đến quản trị—vẫn hoàn toàn an toàn. Cuộc tấn công không ảnh hưởng đến bất kỳ phân khúc nào khác của hệ sinh thái ngoài hợp đồng phân phối airdrop.
Ví đã bị xâm phạm đã được xác định là 0x842822c797049269A3c29464221995C56da5587D và được phát hiện giữ quyền kiểm soát cấp admin đối với ba hợp đồng phân phối token đã được sử dụng để phân phối token ZK dưới dạng airdrop. Sử dụng quyền kiểm soát này, kẻ tấn công đã gọi hàm sweep, cho phép họ nhận và kiểm soát khoảng 111 triệu token ZK chưa được yêu cầu bởi các người nhận đủ điều kiện.
Tác động bị giới hạn trong hợp đồng Thả
Sự kiện phát hành này diễn ra mà không có sự ủy quyền thích hợp đã dẫn đến việc cung ứng các token ZK đang lưu hành tăng khoảng 0,45 phần trăm. Mặc dù đây là một lượng tương đối nhỏ khi nhìn vào tổng thể cung ứng, nhưng sự kiện này đáng chú ý, đặc biệt là vì bản chất của nó và thời điểm diễn ra. Các token liên quan không được dự định lưu hành theo cách này mà thay vào đó được định sẵn để phân phối airdrop.
ZKsync đã nhanh chóng xác nhận rằng đây là một sự cố một lần và rằng mức độ của lỗ hổng đã được phơi bày hoàn toàn. Tất cả các token có thể được tạo ra thông qua phương pháp này đã được tạo ra, và lỗ hổng đã được xử lý. Hiện không còn mối đe dọa nào đang tồn tại, và kẻ tấn công không thể sử dụng cùng một vector để khai thác nữa.
Điều quan trọng là phải hiểu rằng giao thức ZKsync, hợp đồng token ZK, tất cả ba hợp đồng quản trị và tất cả các thợ đào giới hạn của Chương trình Token đều không bị xâm phạm và hoàn toàn hoạt động. Sự cố này không ảnh hưởng đến ví người dùng, bảo mật giao thức, hoặc tính toàn vẹn của hợp đồng token.
Phần lớn các token bị đánh cắp vẫn nằm trong tay kẻ tấn công. ZKsync đã bắt đầu một quy trình phục hồi hợp tác với nhóm an ninh blockchain SEAL 911 và một số sàn giao dịch. Những sàn giao dịch này giúp theo dõi, truy tìm và ngăn chặn các quỹ bị đánh cắp trước khi chúng có thể bị rửa tiền hoặc bán. ZKsync đã công khai mời kẻ tấn công liên hệ với họ tại security@zksync.io để thương lượng việc trả lại các quỹ bị đánh cắp và tránh một vụ kiện.
Mặc dù tác động tài chính của sự cố này tương đối được kiểm soát, nhưng nó làm tăng lo ngại rộng rãi về việc quản lý khóa riêng và trao quyền quản trị trong hợp đồng thông minh.
Cách mà kẻ tấn công truy cập vào khóa quản trị đã bị xâm phạm vẫn chưa được công bố, nhưng ZKsync đã hứa với cộng đồng của mình rằng giờ đây nó an toàn hơn, rằng một cuộc điều tra nội bộ đang diễn ra, và rằng những biện pháp này nên ngăn chặn một sự kiện tương tự xảy ra lần nữa.
Cộng đồng tiền điện tử có cảm xúc trái chiều về tin tức này. Mối quan tâm tập trung vào chính vụ vi phạm; sự nhẹ nhõm đến từ thực tế rằng nó dường như không ảnh hưởng đến bất kỳ hệ thống nào khác. ZKsync đã làm rất tốt trong việc minh bạch về những gì đã xảy ra. Có thể nhờ vào sự minh bạch này, một số PR tốt có thể phát sinh từ sự kiện sau tất cả. Nhưng nếu mọi người đang kêu gọi "lợi ích của sự nhìn nhận muộn màng" liên quan đến quyền truy cập airdrop của ZKsync, thì họ đang ngày càng tiến gần đến việc trở thành những người chỉ trích sự minh bạch của tiền điện tử.
Niềm tin vào quá trình airdrop đã bị ảnh hưởng trong ngắn hạn, nhưng có vẻ như an ninh và chức năng cốt lõi của nền tảng ZKsync vẫn được giữ nguyên. Cách ZKsync xử lý sự kiện này—với việc kiểm soát nhanh chóng, giao tiếp rõ ràng và một nỗ lực có vẻ đã được chuẩn bị kỹ lưỡng và thực hiện hợp tác—cho thấy giao thức đang làm những gì cần thiết để biện minh cho niềm tin tiếp tục vào dự án.
Công bố: Đây không phải là lời khuyên về giao dịch hoặc đầu tư. Luôn nghiên cứu trước khi mua bất kỳ loại tiền điện tử nào hoặc đầu tư vào bất kỳ dịch vụ nào.
Theo dõi chúng tôi trên Twitter @themerklehash để cập nhật những tin tức mới nhất về Crypto, NFT, AI, An ninh mạng và Metaverse!
Bài viết ZKsync Xác Nhận Tài Khoản Quản Trị Bị Hack Trong Hợp Đồng Airdrop: ~$5M Giá Trị Các Token ZK Bị Xâm Phạm Xuất Hiện Đầu Tiên Trên The Merkle News.