Злом аірдроп-контракту ZKsync спричинив крадіжку $5 млн — співтовариство звинувачує команду

Хакер скористався вразливістю в ключах адміністратора і вивів 111 млн. токенів ZK

Проект ZKsync, який працює на Ethereum у сегменті zk-rollup рішень, підтвердив витік близько $5 млн у токенах ZK, призначених для аірдропу. Причиною стало компрометування приватного ключа адміністратора, який керував розподілом невиданих токенів.

Інцидент викликав не лише обвал ціни на 15%, а й шквал критики з боку спільноти, яка очікувала на роздачу як однієї з головних подій року.

Читати також на Coinspot: дані користувачів Ledger, Gemini та Robinhood опинилися у продажу на даркнеті – фішинг та витоку посилюються. На тлі зростання інтересу до Web3 безпека знову виходить першому плані.

Як саме було проведено злом

Команда ZKsync підтвердила: зловмисник отримав доступ до адмін-акаунту, який контролював три аірдроп-контракти. Через функцію sweepUnclaimed() він зумів згенерувати 111 млн ZK, що являють собою невидані токени з пулу для користувачів.

Ключові контракти, включаючи протокол ZKsync, основний токен, систему управління та мінтерів із програми Token Program, не постраждали. Уся активність була обмежена лише пулом аірдропу.

Хакеру запропонували зв'язатися з проектом на адресу [email protected] для обговорення повернення коштів.

Спільнота обурюється: «Свої зарплати не втрачаєте… »

Відповідь від команди ZKsync не задовольнила користувачів. Коментарі під офіційним постом у X наповнені сарказмом та звинуваченнями:

«Цікаво, чому такі інциденти трапляються лише з грошима ком'юніті, а не із зарплатами команди?..»

Інший користувач додав:

«Просто продайте токени та йдіть. Все зрозуміло і без гарних слів.

ZKsync пообіцяв провести внутрішнє розслідування, а також підключив Security Alliance та великі біржі для блокування активів зловмисника.

Індустрія під тиском – атаки частішають

Інцидент із ZKsync не поодинокий випадок у 2024–2025. Буквально днями:

  • KiloEx втратив $7 млн внаслідок атаки на оракл
  • Phantom Wallet опинився в центрі судового позову через вразливість, яка дозволила вкрасти $500 тис. у мем-коїнах

Ланцюжок інцидентів говорить про системну проблему з безпекою розподілу токенів, особливо в умовах поспіху та ажіотажу навколо нових аірдропів та мультичейн-мереж.

Источник: coinspot.io

No votes yet.
Please wait...

СТАТЬИ ПО ТЕМЕ

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *