Инцидент с безопасностью встряхнул сеть Zksync Layer-2: 15 апреля скомпрометированный аккаунт администратора привел к майун в размере примерно 5 миллионов долларов невостребованных токенов Airdrop. Хотя средства пользователя остаются нетронутыми, событие подчеркивает, как осталось воздушный Ассигнования могут стать целью для плохих актеров, если они не будут должным образом обеспечены.
Невостребованные токены AirDrop
Первоначально Zksync в июне 2024 года в экране 3,6 миллиарда ZK вознаградил ранних пользователей Zksync Era и Zksync Lite. Несмотря на это обширное распределение, миллионы жетонов, в соответствии с которыми составляли почти 5 миллионов долларов, остались невостребованными. Эти токены проживали в трех умных контрактах, контролируемых аккаунтом администратора, которая была скомпрометирована.
По словам Zksync’s заявлениеатакующий назвал функцию под названием Shaburlaunced () на контракте AirDrop, тем самым занимая 111 миллионов токенов ZK. Этот ход эффективно увеличил циркулирующее предложение примерно на 0,45% от общего фиксированного снабжения 21 миллиарда токенов.
Функция существовала, чтобы разрешить восстановление невостребованных токенов после периода претензии, но была закрытый За доступом только для администратора-точке доступа, которая была эксплуатирована после того, как ключ администратора был скомпрометирован.
Несмотря на то, что 5 миллионов долларов относительно скромны по сравнению с более широким крипто -пространством, любой несанкционированный добыча Выражает опасения по поводу безопасности контракта и оставшейся обработки токенов.
Область инцидента
Zksync подчеркивает, что этот взлом был изолирован к контракту AirDrop и не влиял на пользовательские кошельки или основной контракт с токеном ZK. Структура управления и сама протокол остаются нетронутыми, причем никакие уязвимости не сообщаются за пределами скомпрометированного ключа администратора. Кроме того, Zksync заверил общественность, что дальнейшие эксплойты невозможны с помощью функции Sweepunkunceed (), так как злоумышленник уже взял все жетоны с маяками.
Тем не менее, ситуация привела к дебатам о проектировании контракта и безопасности ключей администратора. Лучшие практики-такие как использование мультисиг-кошельков для критических функций администратора, реализация операций с задержкой по времени или проектирование контрактов с неизменными параметрами,-смягчила или предотвращала нарушение.
Тем не менее, инцидент вызвал волатильность цен. В какой -то момент 15 апреля стоимость ZK сократилась на 16% до 0,040 долл. США, хотя позже она восстановилась примерно до 0,047 долл. США. Тем не менее, токен остается примерно на 7% за последние 24 часа, отражая постоянную рыночную осторожность после раскрытия взлома.
История воздушного потока
Airdrop Zksync в 2024 году был значительным, выделяя значительный запас токенов в качестве награды для участников экосистемы. Пользователи, которые внесли свой вклад в Zksync Era и Zksync Lite, получили различное количество ZK в зависимости от их деятельности, но часть оставалась невостребованной. Эти невостребованные токены оказались централизованными в рамках трех контрактов на распределение, что в конечном итоге сделало их приз для всех, кому удалось нарушить безопасность аккаунта администратора.
Усилия по реагированию и восстановлению
В ходе защиты от дальнейшего ущерба Zksync заручилась помощью Альянс безопасности (ТЮЛЕНЬ). Кошелек злоумышленника, который содержит большинство недавно прочитанных токенов, — остается тщательно отслеживаемым, и Zksync публично просила, чтобы человек охватился договоренность о возвращении средств. Если это не удастся, компания может искать юридические каналы для решения кражи.
Zksync подчеркивает, что остальная часть ее архитектуры, включая механизмы управления, соединения соединений и токенов, — безопасные. Протокол также утверждает, что остаток уязвимости Из скомпрометированного ключа администратора были нейтрализованы и что в настоящее время не требуются дополнительные меры безопасности, связанные с пользователем.
С нетерпением жду
В то время как взлом не включал в себя месторождения пользователей или инфраструктуру основного протокола, он поднимает вопросы о том, как хранятся и закреплены остатки токенов Airdrop. Распределение токенов среди членов сообщества может быть эффективным способом поощрения раннего участия, но невостребованные части могут стать единственной точкой отказа, если они контролируются одной привилегированной учетной записью.
Быстрый ответ Zksync и прозрачная связь помогли сдержать проблему. Тем не менее, еще неизвестно, будет ли злоумышленник охотно вернуть украденные жетоны. Поскольку сеть продолжает расти — в настоящее время она имеет 57,3 млн. Долл. США, общая стоимость, по словам Defillama, — пользователи и разработчики будут внимательно следить за тем, чтобы увидеть, какие дополнительные меры безопасности Zksync реализуют для предотвращения будущих компромиссов ключей администратора.