Zksync, une solution de mise à l'échelle de la couche 2 Ethereum, a confirmé une violation de sécurité

L'attaquant a exploité la fonction de sweepclaimed () dans trois contrats de distribution de plateaux aériens, frappant 111 millions de jetons ZK

An Ethereum Layer-2 scaling solution Zk sync was subject to a security breach that saw an compromised admin account used to steal unclaimed ZK tokens from its June 2024 airdrop for a total of around $5 million.

Une solution de mise à l'échelle Ethereum Layer-2 ZK Sync a été soumise à une violation de sécurité qui a vu un compte d'administration compromis utilisé pour voler des jetons ZK non réclamés de sa carte aérienne de juin 2024 pour un total d'environ 5 millions de dollars.

The attacker exploited the sweepUnclaimed() function in three airdrop distribution contracts to mint 111 million ZK tokens, which increased the circulating supply by 0.45%. The compromised account was identified as wallet 0x842822c797049269A3c29464221995C56da5587D.

L'attaquant a exploité la fonction de sweepclaimed () dans trois contrats de distribution de plateaux aériens à 111 millions de jetons ZK, ce qui a augmenté l'alimentation en circulation de 0,45%. Le compte compromis a été identifié comme le portefeuille 0x842822C797049269A3C29464221995C56DA5587D.

"This had no impact on user funds, the core protocol, ZK token contract, or governance systems. We are able to fully contain the breach, Gluchowski said.

"Cela n'a eu aucun impact sur les fonds d'utilisateurs, le protocole de base, le contrat de jeton ZK ou les systèmes de gouvernance. Nous sommes en mesure de contenir pleinement la brèche, a déclaré Gluchowski.

The team is conducting a full investigation and working with cybersecurity experts and exchanges for recovery efforts, having also urged the attacker to cooperate to avoid legal consequences. The incident caused a sharp 20% drop in ZK token price, later recovering slightly to around $0.046.

L'équipe mène une enquête complète et travaille avec des experts en cybersécurité et des échanges contre les efforts de récupération, ayant également exhorté l'attaquant à coopérer pour éviter les conséquences juridiques. L'incident a provoqué une forte baisse de 20% du prix du jeton ZK, se remettant plus tard légèrement à environ 0,046 $.

The team was able to quickly revoke the compromised admin key to prevent further unauthorized access to the airdrop distribution contracts. This ensured that no additional tokens could be minted via the exploited sweepUnclaimed() function, as confirmed by the team on April 16, 2025. The team verified that the breach was isolated to three airdrop contracts, with no impact on the core Zk sync protocol, ZK token contract, governance systems, or user funds. All vulnerable tokens were minted, closing the exploit vector.

L'équipe a pu révoquer rapidement la clé d'administration compromise pour empêcher un accès non autorisé non autorisé aux contrats de distribution Airdrop. Cela a garanti qu'aucun jetons supplémentaire ne pouvait être frappé via la fonction exploitée SweepunClaimed (), comme l'a confirmé l'équipe le 16 avril 2025. L'équipe a vérifié que la brèche était isolée à trois contrats aériens, sans impact sur le protocole de synchronisation ZK de base, le contrat de token ZK, les systèmes de gouvernance ou les fonds utilisateur. Tous les jetons vulnérables ont été frappés, fermant le vecteur d'exploit.

An internal investigation was launched to determine how the admin account wallet address was compromised. Zk sync’s co-founder, Alex Gluchowski, noted that the unclaimed tokens were meant to return to the Token Assembly, and the team is probing why this didn’t occur. A full incident report was promised, with Gluchowski stating it would be published once the investigation and recovery efforts are complete.

Une enquête interne a été lancée pour déterminer comment l'adresse du portefeuille du compte d'administration a été compromise. Le co-fondateur de ZK Sync, Alex Gluchowski, a noté que les jetons non réclamés étaient censés retourner à l'assemblage de jetons, et que l'équipe sonde pourquoi cela ne s'est pas produit. Un rapport complet d'incident a été promis, Gluchowski déclarant qu'il serait publié une fois les efforts d'enquête et de récupération terminés.

Zk sync is cooperating with the Security Alliance (SEAL), a blockchain cybersecurity group, to track the attacker’s movements and recover the stolen funds. SEAL is assisting in tracing the 111 million ZK tokens, most of which remain in the attacker’s wallet (0xb102…d6a8). The team is working with cryptocurrency exchanges to freeze the stolen assets.

ZK Sync coopère avec la Security Alliance (SEAL), un groupe de cybersécurité blockchain, pour suivre les mouvements de l'attaquant et récupérer les fonds volés. Seal aide à traçager les 111 millions de jetons ZK, dont la plupart restent dans le portefeuille de l'attaquant (0xb102… D6A8). L'équipe travaille avec des échanges de crypto-monnaie pour geler les actifs volés.

Out of the stolen tokens, around 44 million were later detected flowing through decentralized exchange (DEX) protocols, such as Uniswap and Balancer, as the attacker attempted to swap them for ETH. This resulted in the recovery and freezing of 2,200 ETH ($3.4 million) in several transactions. However, Gluchowski clarified that the recovered ETH was not necessarily a direct result of selling the stolen ZK tokens.

Sur les jetons volés, environ 44 millions ont été détectés par la suite traversant des protocoles d'échange décentralisés (DEX), tels que UniSwap et Balancer, alors que l'attaquant tentait de les échanger contre ETH. Cela a entraîné la reprise et le gel de 2 200 ETH (3,4 millions de dollars) en plusieurs transactions. Cependant, Gluchowski a précisé que l'ETH récupéré n'était pas nécessairement le résultat direct de la vente des jetons ZK volés.

Security teams reacted swiftly, managing to freeze suspicious transactions within hours of the breach, limiting further damage. Gluchowski confirmed that the team is actively monitoring the situation and cooperating with exchanges to identify and segregate any additional stolen assets.

Les équipes de sécurité ont réagi rapidement, réussissant à geler les transactions suspectes dans les heures suivant la violation, ce qui limite les dommages supplémentaires. Gluchowski a confirmé que l'équipe surveillait activement la situation et coopère avec les échanges pour identifier et séparer les actifs volés supplémentaires.

In a public plea, Zk sync urged the attacker to contact their security team at security@zksync.io to cooperate in returning the stolen funds, threatening legal consequences if they fail to comply. This approach aims to recover assets without escalating to law enforcement.

Dans un plaidoyer public, la synchronisation de ZK a exhorté l'attaquant à contacter son équipe de sécurité à Security@zksync.io pour coopérer au retour des fonds volés, menaçant des conséquences juridiques s'ils ne se conforment pas. Cette approche vise à récupérer les actifs sans augmenter les forces de l'ordre.

The threat of legal action was mentioned in a post on April 15, 2025, where Zk sync announced the incident and provided details of the compromised wallet. They also explained how the attacker exploited the sweepUnclaimed() function to mint new tokens and increase the circulating supply.

La menace d'une action en justice a été mentionnée dans un poste le 15 avril 2025, où ZK Sync a annoncé l'incident et a fourni des détails sur le portefeuille compromis. Ils ont également expliqué comment l'attaquant a exploité la fonction SweepClaimed () pour frapper de nouveaux jetons et augmenter l'alimentation en circulation.

In a follow-up post on April 16, 2025, Zk sync assured users that they had quickly revoked the compromised admin key, preventing further access to the airdrop distribution contracts and ensuring that no additional tokens could be minted. The team also verified that the breach was isolated to three airdrop contracts, with no impact on the core Zk sync protocol, ZK token contract, or user funds. All vulnerable tokens were minted, closing the exploit vector.

Dans un article de suivi le 16 avril 2025, ZK Sync a assuré aux utilisateurs qu'ils avaient rapidement révoqué la clé d'administration compromise, empêchant l'accès supplémentaire aux contrats de distribution de plateaux et garantissant qu'aucun jetons supplémentaire ne pouvait être frappé. L'équipe a également vérifié que la violation a été isolée à trois contrats aériens, sans impact sur le protocole de synchronisation ZK Core, le contrat de jeton ZK ou les fonds d'utilisateurs. Tous les jetons vulnérables ont été frappés, fermant le vecteur d'exploit.

The team is working on rolling out stronger security protocols, transitioning to multi-party computation (MPC) wallets, and introducing real-time transaction monitoring and decentralized governance controls for treasury management. These measures are intended to address vulnerabilities in admin key management and restore investor confidence following the incident.

L'équipe travaille à déployer des protocoles de sécurité plus forts, à la transition vers des portefeuilles de calcul multipartites (MPC) et à l'introduction de surveillance des transactions en temps réel et de contrôles de gouvernance décentralisés pour la gestion du trésor. Ces mesures visent à résoudre les vulnérabilités de la gestion des clés de l'administrateur et à restaurer la confiance des investisseurs après l'incident.

The breach highlighted the centralization risks in airdrop contract management, prompting calls for more robust multi-signature wallet protections and regular security audits to mitigate such incidents.

La violation a mis en évidence les risques de centralisation de la gestion des contrats aériens, ce qui a incité des appels à des protections de portefeuille multi-signature plus robustes et des audits de sécurité réguliers pour atténuer ces incidents.

The ZK token price dropped 15-20% following the breach, falling from $0.047 to as low as $0.039, but later recovered slightly to around $0.046-$0.0475. Zk sync’s assurances about protocol security helped mitigate panic selling, though trading volume surged

Le prix du jeton ZK a chuté de 15 à 20% après la violation, passant de 0,047 $ à aussi bas que 0,039 $, mais s'est ensuite légèrement remis à environ 0,046 $ à 0,0475 $. Les assurances de ZK Sync sur la sécurité du protocole ont aidé à atténuer la vente de panique, bien que le volume de négociation ait augmenté