이더 리움 레이어 -2 스케일링 솔루션 인 Zksync는 보안 위반을 확인했습니다.

공격자는 3 개의 에어 드롭 배포 계약에서 스위프 펀 클레임 () 기능을 악용하여 1 억 1 천만 ZK 토큰을 마무리했습니다.

An Ethereum Layer-2 scaling solution Zk sync was subject to a security breach that saw an compromised admin account used to steal unclaimed ZK tokens from its June 2024 airdrop for a total of around $5 million.

Ethereum Layer-2 스케일링 솔루션 ZK Sync는 2024 년 6 월 에어 드롭에서 무의미한 ZK 토큰을 훔치는 데 사용되는 관리자 계정이 총 5 백만 달러에 달하는 보안 위반에 따라 달라졌습니다.

The attacker exploited the sweepUnclaimed() function in three airdrop distribution contracts to mint 111 million ZK tokens, which increased the circulating supply by 0.45%. The compromised account was identified as wallet 0x842822c797049269A3c29464221995C56da5587D.

공격자는 3 개의 에어 드롭 분배 계약에서 1 억 1,100 만 ZK 토큰에 대한 3 개의 에어 드롭 분배 계약에서 스위프 펀드 () 기능을 악용하여 순환 공급을 0.45%증가시켰다. 손상된 계정은 지갑 0x842822C797049269A3C29464221995C56DA5587D로 식별되었습니다.

"This had no impact on user funds, the core protocol, ZK token contract, or governance systems. We are able to fully contain the breach, Gluchowski said.

Gluchowski는“이것은 사용자 자금, 핵심 프로토콜, ZK 토큰 계약 또는 거버넌스 시스템에 영향을 미치지 않았다. 우리는 위반을 완전히 포함 할 수 있다고 Gluchowski는 말했다.

The team is conducting a full investigation and working with cybersecurity experts and exchanges for recovery efforts, having also urged the attacker to cooperate to avoid legal consequences. The incident caused a sharp 20% drop in ZK token price, later recovering slightly to around $0.046.

이 팀은 전체 조사를 수행하고 사이버 보안 전문가 및 회복 노력을위한 교환을 수행하고 있으며, 공격자는 법적 결과를 피하기 위해 협력 할 것을 촉구했습니다. 이 사건은 ZK 토큰 가격이 급격히 20% 감소하여 나중에 약 $ 0.046로 약간 회복되었습니다.

The team was able to quickly revoke the compromised admin key to prevent further unauthorized access to the airdrop distribution contracts. This ensured that no additional tokens could be minted via the exploited sweepUnclaimed() function, as confirmed by the team on April 16, 2025. The team verified that the breach was isolated to three airdrop contracts, with no impact on the core Zk sync protocol, ZK token contract, governance systems, or user funds. All vulnerable tokens were minted, closing the exploit vector.

이 팀은 타협 된 관리자 키를 신속하게 철회하여 에어 드롭 유통 계약에 대한 추가 무단 액세스를 방지 할 수있었습니다. 이를 통해 2025 년 4 월 16 일 팀이 확인한 바와 같이 악용 된 스위프 클럽 () 기능을 통해 추가 토큰을 공급할 수 없음을 보장했습니다.이 팀은 핵심 ZK 동기 프로토콜, ZK 토큰 계약, 거버넌스 시스템 또는 사용자 자금에 영향을 미치지 않고 위반이 3 개의 에어 드롭 계약으로 격리되었음을 확인했습니다. 모든 취약한 토큰이 발사되어 익스플로잇 벡터를 닫았습니다.

An internal investigation was launched to determine how the admin account wallet address was compromised. Zk sync’s co-founder, Alex Gluchowski, noted that the unclaimed tokens were meant to return to the Token Assembly, and the team is probing why this didn’t occur. A full incident report was promised, with Gluchowski stating it would be published once the investigation and recovery efforts are complete.

관리자 계정 지갑 주소가 어떻게 손상되었는지 확인하기 위해 내부 조사가 시작되었습니다. ZK Sync의 공동 설립자 인 Alex Gluchowski는 청구되지 않은 토큰이 토큰 어셈블리로 돌아 가기위한 것이며 팀은 이것이 왜 발생하지 않았는지 조사하고 있다고 언급했습니다. Gluchowski는 조사 및 회복 노력이 완료되면 게시 될 것이라고 진술하면서 전체 사고 보고서가 약속되었습니다.

Zk sync is cooperating with the Security Alliance (SEAL), a blockchain cybersecurity group, to track the attacker’s movements and recover the stolen funds. SEAL is assisting in tracing the 111 million ZK tokens, most of which remain in the attacker’s wallet (0xb102…d6a8). The team is working with cryptocurrency exchanges to freeze the stolen assets.

ZK Sync는 블록 체인 사이버 보안 그룹 인 SEAL (Security Alliance)과 협력하여 공격자의 움직임을 추적하고 도난당한 자금을 회수하고 있습니다. SEAL은 1 억 1,100 만 ZK 토큰을 추적하는 데 도움이되며, 대부분은 공격자의 지갑에 남아 있습니다 (0xB102… D6A8). 팀은 도난당한 자산을 동결시키기 위해 cryptocurrency 교환과 협력하고 있습니다.

Out of the stolen tokens, around 44 million were later detected flowing through decentralized exchange (DEX) protocols, such as Uniswap and Balancer, as the attacker attempted to swap them for ETH. This resulted in the recovery and freezing of 2,200 ETH ($3.4 million) in several transactions. However, Gluchowski clarified that the recovered ETH was not necessarily a direct result of selling the stolen ZK tokens.

도난당한 토큰 중에서, 공격자가 ETH로 교환하려고 시도하면서 약 4,400 만 명이 유전 상파 및 밸런서와 같은 분산 교환 (DEX) 프로토콜을 통해 흐르는 것으로 감지되었습니다. 이로 인해 여러 거래에서 2,200 ETH (340 만 달러)의 회복 및 동결이 발생했습니다. 그러나 Gluchowski는 회수 된 ETH가 도난당한 ZK 토큰을 판매 한 직접적인 결과 일 필요는 없다고 밝혔다.

Security teams reacted swiftly, managing to freeze suspicious transactions within hours of the breach, limiting further damage. Gluchowski confirmed that the team is actively monitoring the situation and cooperating with exchanges to identify and segregate any additional stolen assets.

보안 팀은 신속하게 반응하여 위반 후 몇 시간 내에 의심스러운 거래를 동결시켜 추가 피해를 제한했습니다. Gluchowski는 팀이 상황을 적극적으로 모니터링하고 거래소와 협력하여 추가 도난 자산을 식별하고 분리하고 있음을 확인했습니다.

In a public plea, Zk sync urged the attacker to contact their security team at security@zksync.io to cooperate in returning the stolen funds, threatening legal consequences if they fail to comply. This approach aims to recover assets without escalating to law enforcement.

대중의 항변에서 ZK Sync는 공격자에게 보안 팀에게 Security@zksync.io에 연락하여 도난당한 자금을 반환하는 데 협력하여 준수하지 않으면 법적 결과를 위협 할 것을 촉구했습니다. 이 접근법은 법 집행으로 확대되지 않고 자산을 회수하는 것을 목표로합니다.

The threat of legal action was mentioned in a post on April 15, 2025, where Zk sync announced the incident and provided details of the compromised wallet. They also explained how the attacker exploited the sweepUnclaimed() function to mint new tokens and increase the circulating supply.

법적 조치의 위협은 2025 년 4 월 15 일에 ZK Sync가 사건을 발표하고 타협 된 지갑에 대한 세부 정보를 제공 한 게시물에서 언급되었습니다. 그들은 또한 공격자가 새로운 토큰을 깎고 순환 공급을 늘리기 위해 스위프 클럽 () 기능을 어떻게 이용했는지 설명했습니다.

In a follow-up post on April 16, 2025, Zk sync assured users that they had quickly revoked the compromised admin key, preventing further access to the airdrop distribution contracts and ensuring that no additional tokens could be minted. The team also verified that the breach was isolated to three airdrop contracts, with no impact on the core Zk sync protocol, ZK token contract, or user funds. All vulnerable tokens were minted, closing the exploit vector.

2025 년 4 월 16 일 후속 게시물에서 ZK Sync는 사용자가 손상된 관리자 키를 신속하게 취소하여 에어 드롭 배포 계약에 대한 추가 액세스를 방지하고 추가 토큰을 inting 할 수 없는지 확인했습니다. 또한이 팀은 핵심 ZK Sync 프로토콜, ZK 토큰 계약 또는 사용자 자금에 영향을 미치지 않고 위반이 3 개의 에어 드롭 계약으로 격리되었음을 확인했습니다. 모든 취약한 토큰이 발사되어 익스플로잇 벡터를 닫았습니다.

The team is working on rolling out stronger security protocols, transitioning to multi-party computation (MPC) wallets, and introducing real-time transaction monitoring and decentralized governance controls for treasury management. These measures are intended to address vulnerabilities in admin key management and restore investor confidence following the incident.

이 팀은 강력한 보안 프로토콜을 출시하고 MPC (Mati-Party Computation) 지갑으로 전환하고 재무 관리를위한 실시간 거래 모니터링 및 분산 거버넌스 제어를 도입하기 위해 노력하고 있습니다. 이러한 조치는 관리자 키 관리의 취약점을 해결하고 사건에 따라 투자자 신뢰를 회복하기위한 것입니다.

The breach highlighted the centralization risks in airdrop contract management, prompting calls for more robust multi-signature wallet protections and regular security audits to mitigate such incidents.

이 위반은 에어 드롭 계약 관리의 중앙 집중 위험을 강조하여보다 강력한 다중 서명 지갑 보호 및 정기 보안 감사를 요구하여 그러한 사고를 완화했습니다.

The ZK token price dropped 15-20% following the breach, falling from $0.047 to as low as $0.039, but later recovered slightly to around $0.046-$0.0475. Zk sync’s assurances about protocol security helped mitigate panic selling, though trading volume surged

ZK 토큰 가격은 위반 후 15-20% 하락하여 0.047 달러에서 최저 $ 0.039로 하락했지만 나중에는 약 $ 0.046- $ 0.0475로 약간 회복되었습니다. 프로토콜 보안에 대한 ZK Sync의 보증은 공황 판매를 완화하는 데 도움이되었지만 거래량이 급증했습니다.