ZkSync, eine Skalierungslösung von Ethereum Layer-2, hat einen Sicherheitskompromiss bekannt gegeben

Das Problem trat auf, nachdem eine Verwaltungsbrieftasche, die die Airdrop -Verträge verwaltet, beeinträchtigt wurde.

Layer-2 scaling solution ZKsync has disclosed a security compromise that resulted in the theft of $5 million in unclaimed airdrop tokens. The issue arose after an administrative wallet managing the airdrop contracts was compromised. This breach, described as an “isolated attack,” has raised concerns about the security of token distribution in the zk-rollup market, especially following last year’s 21 billion token airdrop, which drew criticism for unequal allocation and poor Sybil protection.

Layer-2-Skalierungslösung ZkSync hat einen Sicherheitskompromiss bekannt gegeben, der zu einem Diebstahl von 5 Millionen US-Dollar bei nicht beanspruchten Airdrop-Token führte. Das Problem trat auf, nachdem eine Verwaltungsbrieftasche, die die Airdrop -Verträge verwaltete, kompromittiert worden war. Dieser als „isolierte Angriff“ beschriebene Verstoß hat Bedenken hinsichtlich der Sicherheit der Token-Verteilung auf dem ZK-Rollup-Markt geäußert, insbesondere nach dem 21-Milliarden-Token-Airdrop des letzten Jahres, der die Kritik an ungleicher Zuweisung und schlechter Sybil-Schutz kritisierte.

How the Exploit Occurred

Wie der Exploit aufgetreten ist

On April 15, ZKsync disclosed a breach involving the unauthorized use of an admin wallet to siphon unclaimed airdrop tokens. The attacker exploited a privileged function in the airdrop distribution contracts to mint about 111 million ZK tokens, valued at roughly $5 million, and clocked the circulating supply by 0.45%. According to ZKsync’s official statement on X (formerly Twitter), the exploit involved the misuse of the ‘sweepUnclaimed()’ function, which had the capability to collect unallocated tokens from the ongoing airdrop initiative.

Am 15. April gab ZkSync einen Verstoß bekannt, bei dem die nicht autorisierte Verwendung einer Administrator -Brieftasche zur Siphon -nicht beanspruchten Airdrop -Token mitgewirkt hat. Der Angreifer nutzte eine privilegierte Funktion in den Airdrop -Verteilungsverträgen an Münzverträge von rund 111 Millionen ZK -Token im Wert von rund 5 Millionen US -Dollar und fuhr das zirkulierende Angebot um 0,45%. Laut Zksyncs offizieller Erklärung zu X (ehemals Twitter) beinhaltete der Exploit den Missbrauch der Funktion "Sweepunconed ()", die die Fähigkeit hatte, nicht zugewiesene Token aus der laufenden Airdrop -Initiative zu sammeln.

“The attacker called the sweepUnclaimed() function that minted approximately 111 million unclaimed ZK tokens from the airdrop contracts,” confirmed ZKsync.

"Der Angreifer nannte die Funktion Sweepunconaimed (), die ungefähr 111 Millionen nicht beanspruchte ZK -Token aus den Airdrop -Verträgen abgeprägt hat", bestätigte ZkSync.

The team clarified that this breach was isolated, noting that “this incident is contained to the airdrop distribution contracts only, and all the funds that could be minted have been minted. No further exploits via this method are possible.”

Das Team stellte klar, dass dieser Verstoß isoliert war, und stellte fest, dass „dieser Vorfall nur in den Airdrop -Vertriebsverträgen enthalten ist und alle Gelder, die geprägt werden konnten, geprägt wurden. Es sind keine weiteren Heldentaten über diese Methode möglich.“

ZKsync highlighted that the attack did not affect any user funds or core smart contracts, and that “necessary security measures are being taken,” along with a complete investigation into the matter to assess it and prevent future vulnerabilities.

ZkSync betonte, dass der Angriff keine Benutzerfonds oder Kernverträge intelligente und dass „notwendige Sicherheitsmaßnahmen ergriffen werden“ sowie eine vollständige Untersuchung der Angelegenheit zur Bewertung und zur Verhinderung zukünftiger Schwachstellen.

Further examination by security researchers revealed that the vulnerability was facilitated by weak controls around privileged functions. Critics noted that the compromised admin wallet lacked comprehensive multisignature (multisig) security, which if addressed might have minimized or prevented the breach.

Eine weitere Untersuchung durch Sicherheitsforscher ergab, dass die Verwundbarkeit durch schwache Kontrollen in Bezug auf privilegierte Funktionen erleichtert wurde. Kritiker stellten fest, dass der gefährdeten Administrator -Brieftasche eine umfassende Sicherheit (Multisignature) (MultiSIG) fehlte, die bei der angesprochenen Multisig -Sicherheit den Verstoß minimiert oder verhindert haben könnte.

ZKsync is working with the Security Alliance (SEAL) on recovery efforts, confirming that its token contracts and governance are not affected, and no other exploits are possible through the “sweepUnclaimed()” vector. The total value locked (TVL) on ZKsync Era, a layer-2 protocol based on zero-knowledge rollups on Ethereum, now stands at $57.3 million. On April 15, the company was distributing 17.5% of its token supply to members of the ecosystem.

ZkSync arbeitet mit der Security Alliance (Seal) für Wiederherstellungsbemühungen zusammen und bestätigt, dass seine Token -Verträge und die Governance nicht beeinträchtigt sind und keine weiteren Heldentaten durch den Vektor „Sweepuncaled ()“ möglich sind. Der Gesamtwert (TVL) in ZkSync ERA, ein Layer-2-Protokoll, das auf Null-Knowledge-Rollups auf Ethereum basiert, liegt jetzt bei 57,3 Millionen US-Dollar. Am 15. April verteilte das Unternehmen 17,5% seines Token -Angebots an Mitglieder des Ökosystems.

Market Reaction and Damage Assessment

Marktreaktion und Schadensbewertung

The market reacted swiftly to the hack, with ZK tokens losing over 13.7% of their value in only 24 hours, dropping from $0.046 to $0.039. Trading volume surged by 96% to $71 million, indicating significant selloff activity and fear on decentralized exchanges.

Der Markt reagierte schnell auf den Hack, wobei ZK -Token in nur 24 Stunden mehr als 13,7% ihres Wertes verloren und von 0,046 USD auf 0,039 USD gesunken war. Das Handelsvolumen stieg um 96% auf 71 Mio. USD, was auf erhebliche Ausverkaufstätigkeit und Angst vor dezentralen Börsen hinweist.

Further investigation revealed that the attacker quickly swapped the stolen tokens for ETH to cover their tracks, routing the proceeds through multiple wallets. At present, about 44 million of the stolen tokens, valued at roughly $2.1 million, remain unlocated, while 2,200 ETH (approximately $3.4 million) can still be traced.

Weitere Untersuchungen ergaben, dass der Angreifer die gestohlenen Token schnell gegen die ETH ausgetauscht hatte, um seine Spuren abzudecken und den Erlös durch mehrere Brieftaschen zu leiten. Gegenwärtig bleiben rund 44 Millionen der gestohlenen Token im Wert von rund 2,1 Millionen US -Dollar nicht unlokiert, während noch 2.200 ETH (ca. 3,4 Millionen US -Dollar) verfolgt werden können.

Broader Implications for DeFi Security

Breitere Auswirkungen auf die Defi -Sicherheit

This event underscores the importance of robust security measures on DeFi platforms. As the ecosystem grows, safeguarding the integrity of administrative controls is crucial for maintaining user trust and protecting assets.

Dieses Ereignis unterstreicht die Bedeutung robuster Sicherheitsmaßnahmen für Defi -Plattformen. Wenn das Ökosystem wächst, ist die Sicherung der Integrität der administrativen Kontrollen entscheidend für die Aufrechterhaltung des Benutzervertrauens und des Schutzes von Vermögenswerten.

The ZKsync hack serves as a stark reminder of the vulnerabilities that can exist in smart contract systems, particularly those involving administrative responsibilities. As DeFi platforms expand and engage more users, comprehensive security audits and strong governance procedures become increasingly paramount.

Der ZkSync Hack erinnert eine starke Erinnerung an die Schwachstellen, die in intelligenten Vertragssystemen vorhanden sind, insbesondere in den Verwaltungsverantwortlichkeiten. Wenn Defi -Plattformen mehr Benutzer erweitern und einbeziehen, werden umfassende Sicherheitsaudits und starke Governance -Verfahren zunehmend wichtiger.