Инцидент в безопасности встряхнулся сеть Zskync Layer-2: 15 апреля, подвергшиеся значению аккаунта администратора, привел к Mint с пропущенными токенами Airdrop на сумму около 5 миллионов долларов. Хотя средства пользователя остаются нетронутыми, событие подчеркивает, как остатки Воздушный Ассигнования могут стать целью для плохих актеров, если они не закреплены должным образом.
Целевые токены AirDrop
Первоначально Zksync составила 3,6 миллиарда токенов ZK в июне 2024 года, чтобы вознаградить эру раннего усыновления Zksync и Zksync Lite. Несмотря на это обширное распределение миллионов токенов, собравшихся до 5 миллионов долларов, оставалось пропущенным. Эти токены жили в трех интеллектуальных контрактах, контролируемых административным счетом, который был нарушен.
По словам Zksync’s заявлениеЗлоумышленник назвал функцию, называемую WailClalion () в контракте AirDrop, что выбило 111 миллиона токенов ZK. Это движение эффективно увеличило циркуляцию предложения примерно на 0,45% от общего постоянного снабжения 21 миллиарда токенов.
Функция существовала, чтобы обеспечить восстановление пропущенных токенов после периода претензии, но это было Цель -goal За доступом только к административной точке доступа, который использовался после того, как ключ администратора был нарушен.
Несмотря на то, что 5 миллионов долларов относительно скромны по сравнению с более широким криптографическим пространством, каждый несанкционированный Добыча Это вызывает обеспокоенность по поводу безопасности контрактов и остатков токена.
Инцидент
Zksync подчеркивает, что этот взлом был изолирован к контракту AirDrop и не влиял на портфели пользователей или основное соглашение токена ZK. Рамки управления и сам протокол остаются нетронутыми, без каких -либо пробелов в безопасности за пределами исчезающего ключа администратора. Кроме того, Zksync заверил общество, что дальнейшее использование невозможно использовать функцию sapeuncuanceed (), потому что злоумышленник уже взял все жетоны с рельсом.
Несмотря на это, ситуация восстанавливает дебаты о разработке контрактов и ключевой административной безопасности. Лучшие практики, такие как использование мультисигских кошельков для критических функций администратора, реализация времени, заблокированных или проектирования контрактов с неизменными параметрами, смягчила или предотвращало нарушение.
Тем не менее, инцидент вызвал изменчивость цен. В какой -то момент 15 апреля значение ZK упало на 16% до 0,040 долл. США, хотя впоследствии увеличилось до 0,047 доллара США. Несмотря на это, токен упал примерно на 7% за последние 24 часа, что отражает постоянную рыночную осторожность после раскрытия взлома.
История Airdrop
В 2024 году Airdrop Zksync был значительным, выделяя значительный запас токенов в качестве награды для участников экосистемы. Пользователи, которые внесли свой вклад в эпоху Zskync и Zksync Lite, получили различные количества ZK в зависимости от их деятельности, но некоторые остались пропущенными. Эти пропущенные токены закончились централизованными на основе трех соглашений о распределении, что в конечном итоге сделало их высокой ценностной вознаграждением для всех, кому удалось нарушить безопасность административного счета.
Ответы и усилия по восстановлению
В движении, чтобы защитить от дальнейшего повреждения, Zksync повернулся, чтобы помочь Альянс безопасности (ТЮЛЕНЬ). Портфолио злоумышленника, содержащий большинство недавно сломанных токенов, остается строго контролируемым, и ZSNNC публично попросил достичь переговоров о возвращении. Если это не удастся, компания может искать юридические каналы для решения кражи.
Zksync подчеркивает, что остальная часть ее архитектуры, включая механизмы управления, мостовые компоненты и токенов, обеспечивают безопасность. Протокол также утверждает, что останки слабость Ключ администратора был нейтрализован и что в данный момент не требуется никаких дополнительных мер безопасности.
Что -то жду
Хотя Hack не включал в себя месторождения пользователей или основную инфраструктуру протокола, он поднимает вопросы о том, как сохраняются и закреплены остатки токенов AirDrop. Распределение токенов среди членов сообщества может быть эффективным способом поощрения раннего участия, но неоплачиваемые части могут стать одной точкой отказа, если они контролируются одной привилегированной учетной записью.
Быстрый ответ слабых и прозрачных коммуникаций помог сдержать проблему. Тем не менее, выяснится, будет ли злоумышленник с радостью вернуть украденные токены. По мере развития сети — в настоящее время она имеет закрытую стоимость 57,3 млн. Долл. США, согласно Pepillam — как пользователи, так и разработчики будут тщательно наблюдать, какие дополнительные меры безопасности реализуются SPS для предотвращения будущего компромисса административного ключа.