Команда безопасности ZKsync выявила компрометацию административной учетной записи, через которую перехвачены токены ZK на ~$5 млн — это были невостребованные остатки после аирдропа.
ZKsync security team has identified a compromised admin account that took control of ~$5M worth of ZK tokens — the remaining unclaimed tokens from the ZKsync airdrop. Necessary security measures are being taken.
— ZKsync (∎, ∆) (@zksync) April 15, 2025
All user funds are safe and have never been at risk. The ZKsync…
На фоне инцидента курс ZK в моменте просел на 17%, однако вскоре цена частично отыграла падение.
«Все средства пользователей в безопасности и никогда не подвергались риску. Протокол ZKsync и смарт-контракт токена ZK остаются защищенными, и дальнейшая безопасность ZK не вызывает опасений», — написали представители проекта.
Чуть позже исследователи выяснили, что соответствующий аккаунт (0x842822c797049269A3c29464221995C56da5587D) контролировал три контракта, отвечающих за распределение аирдропа.
Update: the investigation has revealed that the account that was the admin of the three airdrop distribution contracts had been compromised. The compromised account address is 0x842822c797049269A3c29464221995C56da5587D.
— ZKsync (∎, ∆) (@zksync) April 15, 2025
The attacker called the sweepUnclaimed() function that…
«Атакующий вызвал функцию sweepUnclaimed(), выпустив примерно 111 млн невостребованных токенов ZK со смарт-контрактов аирдропа», — пояснили исследователи.
По их расчетам, транзакция увеличила число токенов в обращении на ~0,45%. Эксперты подчеркнули, что инцидент затронул «исключительно контракты для распределения аирдропа; все подлежащие выпуску токены уже выпущены». Таким образом, повторное использование уязвимости невозможно.
Злоумышленник по-прежнему удерживает основную часть средств на этом адресе.
Напоследок проект сообщил о сотрудничестве с экспертами из Security Alliance и призвал атакующего выйти на связь для возврата средств во избежание правовых последствий.
В 2021 и 2022 году ZKsync привлек $450 млн инвестиций.
В сентябре 2024 года CEO стоящей за протоколом компании Matter Labs Алекс Глуховски сообщил о сокращении штата сотрудников на 16%.
В июне проект провел аирдроп 3,6 млн токенов ZK. После масштабной раздачи ключевые показатели существенно снизились.
Напомним, стоящая за ZKsync ДАО досрочно завершила программу вознаграждений Ignite с 17 марта, сославшись на медвежьи условия на рынке.