이더 리움 레이어 -2 스케일링 솔루션 인 Zksync는 보안 타협을 공개했습니다.

에어 드롭 계약을 관리하는 행정 지갑이 손상된 후 문제가 발생했습니다.

Layer-2 scaling solution ZKsync has disclosed a security compromise that resulted in the theft of $5 million in unclaimed airdrop tokens. The issue arose after an administrative wallet managing the airdrop contracts was compromised. This breach, described as an “isolated attack,” has raised concerns about the security of token distribution in the zk-rollup market, especially following last year’s 21 billion token airdrop, which drew criticism for unequal allocation and poor Sybil protection.

Layer-2 스케일링 솔루션 Zksync는 보안 타협을 공개하여 미 청구 에어 드롭 토큰에서 5 백만 달러의 도난을 초래했습니다. 에어 드롭 계약을 관리하는 행정 지갑이 타협 된 후에이 문제가 발생했습니다. “고립 된 공격”으로 묘사 된이 위반은 ZK-Rollup 시장에서 토큰 분포의 보안에 대한 우려를 제기했으며, 특히 작년의 210 억 개의 토큰 에어 드롭에 이어 불평등 한 할당과 Sybil 보호 불량에 대한 비판을 불러 일으켰습니다.

How the Exploit Occurred

악용이 어떻게 발생했는지

On April 15, ZKsync disclosed a breach involving the unauthorized use of an admin wallet to siphon unclaimed airdrop tokens. The attacker exploited a privileged function in the airdrop distribution contracts to mint about 111 million ZK tokens, valued at roughly $5 million, and clocked the circulating supply by 0.45%. According to ZKsync’s official statement on X (formerly Twitter), the exploit involved the misuse of the ‘sweepUnclaimed()’ function, which had the capability to collect unallocated tokens from the ongoing airdrop initiative.

4 월 15 일, Zksync는 관리 지갑의 무단 사용과 관련된 위반을 공개하여 미청 에어 드롭 토큰을 사이펀했습니다. 공격자는 에어 드롭 분배 계약에서 약 1 억 1 천만 ZK 토큰의 Mint에 권한있는 기능을 활용하여 약 5 백만 달러에 달했으며 순환 공급량을 0.45%늘 렸습니다. X (이전의 트위터)에 대한 Zksync의 공식 성명에 따르면, 이용은 진행중인 에어 드롭 이니셔티브에서 할당되지 않은 토큰을 수집 할 수있는 'SweepunClaimed ()'기능의 오용을 포함했습니다.

“The attacker called the sweepUnclaimed() function that minted approximately 111 million unclaimed ZK tokens from the airdrop contracts,” confirmed ZKsync.

ZKSYNC는“공격자는 에어 드롭 계약에서 약 1 억 1 천 1 백만 명의 미 청구 ZK 토큰을 깎아 낸 SweepunClaimed () 기능을 불렀습니다.

The team clarified that this breach was isolated, noting that “this incident is contained to the airdrop distribution contracts only, and all the funds that could be minted have been minted. No further exploits via this method are possible.”

이 팀은이 위반이 고립되었다고 밝혔다.“이 사건은 에어 드롭 유통 계약에만 포함되어 있으며, 공급 될 수있는 모든 자금은 공액을 int 다.

ZKsync highlighted that the attack did not affect any user funds or core smart contracts, and that “necessary security measures are being taken,” along with a complete investigation into the matter to assess it and prevent future vulnerabilities.

ZKSYNC는이 공격이 사용자 자금이나 핵심 스마트 계약에 영향을 미치지 않았으며,이 문제에 대한 완전한 조사와 함께이를 평가하고 향후 취약점을 방지하기위한“필요한 보안 조치가 취해지고있다”고 강조했다.

Further examination by security researchers revealed that the vulnerability was facilitated by weak controls around privileged functions. Critics noted that the compromised admin wallet lacked comprehensive multisignature (multisig) security, which if addressed might have minimized or prevented the breach.

보안 연구원들에 의한 추가 조사에 따르면 특권 기능에 대한 약한 통제에 의해 취약성이 촉진 된 것으로 나타났습니다. 비평가들은 손상된 관리 지갑에 포괄적 인 다중 서명 (Multisig) 보안이 부족했으며,이 경우 해결되면 위반을 최소화하거나 방지했을 수 있습니다.

ZKsync is working with the Security Alliance (SEAL) on recovery efforts, confirming that its token contracts and governance are not affected, and no other exploits are possible through the “sweepUnclaimed()” vector. The total value locked (TVL) on ZKsync Era, a layer-2 protocol based on zero-knowledge rollups on Ethereum, now stands at $57.3 million. On April 15, the company was distributing 17.5% of its token supply to members of the ecosystem.

ZKSYNC는 회복 노력에 대해 SEAL (Security Alliance)과 협력하여 토큰 계약과 거버넌스가 영향을받지 않았으며“SweepunClaimed ()”벡터를 통해 다른 악용이 불가능하다는 것을 확인합니다. Ethereum의 제로 지식 롤업을 기반으로 한 레이어 -2 프로토콜 인 Zksync 시대의 TVL (Total Value Locked) (TVL)은 이제 5,730 만 달러입니다. 4 월 15 일, 회사는 토큰 공급의 17.5%를 생태계 회원에게 배포했습니다.

Market Reaction and Damage Assessment

시장 반응 및 손상 평가

The market reacted swiftly to the hack, with ZK tokens losing over 13.7% of their value in only 24 hours, dropping from $0.046 to $0.039. Trading volume surged by 96% to $71 million, indicating significant selloff activity and fear on decentralized exchanges.

시장은 해킹에 신속하게 반응했으며 ZK 토큰은 24 시간 만에 가치의 13.7% 이상을 잃어 0.046 달러에서 $ 0.039로 떨어졌습니다. 거래량은 96% 증가한 7,100 만 달러로 분산 된 거래소에 대한 상당한 매도 활동과 두려움을 나타냅니다.

Further investigation revealed that the attacker quickly swapped the stolen tokens for ETH to cover their tracks, routing the proceeds through multiple wallets. At present, about 44 million of the stolen tokens, valued at roughly $2.1 million, remain unlocated, while 2,200 ETH (approximately $3.4 million) can still be traced.

추가 조사에 따르면 공격자는 도난당한 토큰을 ETH의 트랙을 덮기 위해 신속하게 교환하여 여러 지갑을 통해 수익금을 라우팅했습니다. 현재 약 210 만 달러의 가치가있는 약 4,400 만 명의 도난 토큰은 약 2,200 개 (약 340 만 달러)는 여전히 추적 할 수 있습니다.

Broader Implications for DeFi Security

Defi Security에 대한 광범위한 의미

This event underscores the importance of robust security measures on DeFi platforms. As the ecosystem grows, safeguarding the integrity of administrative controls is crucial for maintaining user trust and protecting assets.

이 이벤트는 Defi 플랫폼에서 강력한 보안 조치의 중요성을 강조합니다. 생태계가 성장함에 따라 사용자 신뢰를 유지하고 자산을 보호하는 데 관리 통제의 무결성을 보호하는 것이 중요합니다.

The ZKsync hack serves as a stark reminder of the vulnerabilities that can exist in smart contract systems, particularly those involving administrative responsibilities. As DeFi platforms expand and engage more users, comprehensive security audits and strong governance procedures become increasingly paramount.

Zksync Hack은 스마트 계약 시스템, 특히 관리 책임과 관련된 취약점을 상기시켜줍니다. Defi 플랫폼이 더 많은 사용자를 확장하고 참여함에 따라 포괄적 인 보안 감사와 강력한 거버넌스 절차가 점점 더 중요 해지고 있습니다.