Zksync, une solution de mise à l'échelle de la couche 2 Ethereum, a divulgué un compromis de sécurité

Le problème s'est produit après un portefeuille administratif qui gère les contrats aériens a été compromis.

Layer-2 scaling solution ZKsync has disclosed a security compromise that resulted in the theft of $5 million in unclaimed airdrop tokens. The issue arose after an administrative wallet managing the airdrop contracts was compromised. This breach, described as an “isolated attack,” has raised concerns about the security of token distribution in the zk-rollup market, especially following last year’s 21 billion token airdrop, which drew criticism for unequal allocation and poor Sybil protection.

La solution de mise à l'échelle de la couche 2 Zksync a divulgué un compromis de sécurité qui a entraîné un vol de 5 millions de dollars en jetons aériens non réclamés. La question est survenue après qu'un portefeuille administratif gérant les contrats aériens a été compromis. Cette violation, décrite comme une «attaque isolée», a soulevé des inquiétudes quant à la sécurité de la distribution de jetons sur le marché du RK-Rollup, en particulier après les 21 milliards de billets de jetons de l'année dernière, ce qui a suscité des critiques pour une allocation inégale et une mauvaise protection de Sybil.

How the Exploit Occurred

Comment l'exploit s'est produit

On April 15, ZKsync disclosed a breach involving the unauthorized use of an admin wallet to siphon unclaimed airdrop tokens. The attacker exploited a privileged function in the airdrop distribution contracts to mint about 111 million ZK tokens, valued at roughly $5 million, and clocked the circulating supply by 0.45%. According to ZKsync’s official statement on X (formerly Twitter), the exploit involved the misuse of the ‘sweepUnclaimed()’ function, which had the capability to collect unallocated tokens from the ongoing airdrop initiative.

Le 15 avril, Zksync a révélé une violation impliquant l'utilisation non autorisée d'un portefeuille d'administration pour siphonner les jetons aériens non réclamés. L'attaquant a exploité une fonction privilégiée dans les contrats de distribution de plateaux aériens pour atteindre environ 111 millions de jetons ZK, évalués à environ 5 millions de dollars, et a chronométré l'offre en circulation de 0,45%. Selon la déclaration officielle de Zksync sur X (anciennement Twitter), l'exploit a impliqué l'utilisation abusive de la fonction «sweepinclaimed ()», qui avait la capacité de collecter des jetons non alloués de l'initiative aérienne en cours.

“The attacker called the sweepUnclaimed() function that minted approximately 111 million unclaimed ZK tokens from the airdrop contracts,” confirmed ZKsync.

"L'attaquant a qualifié la fonction SweepUmmed () qui a frappé environ 111 millions de jetons ZK non réclamés des contrats aériens", a confirmé Zksync.

The team clarified that this breach was isolated, noting that “this incident is contained to the airdrop distribution contracts only, and all the funds that could be minted have been minted. No further exploits via this method are possible.”

L'équipe a précisé que cette violation a été isolée, notant que «cet incident est contenu uniquement aux contrats de distribution de plateaux aériens, et tous les fonds qui pourraient être frappés n'ont été frappés. Aucune autre exploite via cette méthode n'est possible.»

ZKsync highlighted that the attack did not affect any user funds or core smart contracts, and that “necessary security measures are being taken,” along with a complete investigation into the matter to assess it and prevent future vulnerabilities.

Zksync a souligné que l'attaque n'a affecté aucun fonds d'utilisateurs ou contrats intelligents de base, et que «les mesures de sécurité nécessaires sont prises», ainsi qu'une enquête complète sur la question pour l'évaluer et prévenir les vulnérabilités futures.

Further examination by security researchers revealed that the vulnerability was facilitated by weak controls around privileged functions. Critics noted that the compromised admin wallet lacked comprehensive multisignature (multisig) security, which if addressed might have minimized or prevented the breach.

Un examen plus approfondi par des chercheurs en sécurité a révélé que la vulnérabilité était facilitée par des contrôles faibles autour des fonctions privilégiées. Les critiques ont noté que le portefeuille d'administration compromis manquait de sécurité multisignature (multisig) complète qui, si elle, si elle est abordée, aurait pu minimiser ou empêcher la violation.

ZKsync is working with the Security Alliance (SEAL) on recovery efforts, confirming that its token contracts and governance are not affected, and no other exploits are possible through the “sweepUnclaimed()” vector. The total value locked (TVL) on ZKsync Era, a layer-2 protocol based on zero-knowledge rollups on Ethereum, now stands at $57.3 million. On April 15, the company was distributing 17.5% of its token supply to members of the ecosystem.

Zksync travaille avec la Sécurité Alliance (SEAL) sur les efforts de récupération, confirmant que ses contrats de jeton et sa gouvernance ne sont pas affectés, et qu'aucun autre exploit n'est possible via le vecteur «sweep-claimed ()». La valeur totale verrouillée (TVL) sur l'ère Zksync, un protocole de couche 2 basé sur des rouleaux de connaissance zéro sur Ethereum, s'élève désormais à 57,3 millions de dollars. Le 15 avril, la société distribuait 17,5% de son approvisionnement en jetons aux membres de l'écosystème.

Market Reaction and Damage Assessment

Réaction du marché et évaluation des dommages

The market reacted swiftly to the hack, with ZK tokens losing over 13.7% of their value in only 24 hours, dropping from $0.046 to $0.039. Trading volume surged by 96% to $71 million, indicating significant selloff activity and fear on decentralized exchanges.

Le marché a réagi rapidement au piratage, les jetons ZK perdant plus de 13,7% de leur valeur en seulement 24 heures, passant de 0,046 $ à 0,039 $. Le volume de négociation a bondi de 96% à 71 millions de dollars, indiquant une activité de vente et une peur importantes sur les bourses décentralisées.

Further investigation revealed that the attacker quickly swapped the stolen tokens for ETH to cover their tracks, routing the proceeds through multiple wallets. At present, about 44 million of the stolen tokens, valued at roughly $2.1 million, remain unlocated, while 2,200 ETH (approximately $3.4 million) can still be traced.

Une enquête plus approfondie a révélé que l'attaquant a rapidement échangé les jetons volés contre ETH pour couvrir leurs traces, achetant le produit à travers plusieurs portefeuilles. À l'heure actuelle, environ 44 millions de jetons volés, d'une valeur d'environ 2,1 millions de dollars, restent à l'abri, tandis que 2 200 ETH (environ 3,4 millions de dollars) peuvent encore être tracés.

Broader Implications for DeFi Security

Implications plus larges pour la sécurité Defi

This event underscores the importance of robust security measures on DeFi platforms. As the ecosystem grows, safeguarding the integrity of administrative controls is crucial for maintaining user trust and protecting assets.

Cet événement souligne l'importance des mesures de sécurité robustes sur les plates-formes Defi. À mesure que l'écosystème se développe, la sauvegarde de l'intégrité des contrôles administratives est cruciale pour maintenir la confiance des utilisateurs et protéger les actifs.

The ZKsync hack serves as a stark reminder of the vulnerabilities that can exist in smart contract systems, particularly those involving administrative responsibilities. As DeFi platforms expand and engage more users, comprehensive security audits and strong governance procedures become increasingly paramount.

Le hack Zksync sert de rappel brutal des vulnérabilités qui peuvent exister dans les systèmes de contrat intelligents, en particulier ceux impliquant des responsabilités administratives. À mesure que les plates-formes Defi se développent et engagent davantage d'utilisateurs, des audits de sécurité complets et des procédures de gouvernance solides deviennent de plus en plus primordiques.