ZKsync confirme qu'un exploit de jeton de 5 millions de dollars est lié à un compte administrateur compromis

Table des Matières

Share

ZKsync a confirmé Un incident de sécurité a entraîné la création non autorisée d'environ 5 millions de dollars de jetons ZK suite à la compromission d'un compte administrateur lié à ses contrats de distribution par airdrop. La faille, qui ciblait des jetons non réclamés lors d'un récent airdrop, a été maîtrisée, selon un communiqué publié par l'équipe de sécurité de ZKsync.

L'attaquant a exploité une fonction privilégiée du contrat d'airdrop pour créer environ 111 millions de jetons ZK. Cela a gonflé l'offre totale en circulation de 0.45 %, bien que l'impact soit limité au mécanisme d'airdrop.

Incident contenu, aucun risque de protocole plus large

ZKsync a souligné qu'aucun fonds utilisateur n'avait été affecté et que le protocole global restait sécurisé. L'accès non autorisé était limité à une adresse administrateur supervisant trois contrats de distribution Airdrop. L'incident n'a compromis ni le contrat de jeton ZK, ni le protocole principal, ni les contrats de gouvernance, ni les mineurs plafonnés actifs.

Le compte compromis a initié la transaction de frappe, qui fait actuellement l'objet d'une enquête. Le portefeuille de l'attaquant contient actuellement la majeure partie des jetons volés à une autre adresse. L'organisation a précisé qu'aucun jeton ZK supplémentaire ne pouvait être frappé par cette méthode, précisant que la vulnérabilité avait été pleinement exploitée et n'était plus active.

Les efforts de récupération sont en cours tandis que l'enquête se poursuit

ZKsync collabore avec le groupe de sécurité blockchain SEAL 911 et collabore avec les plateformes d'échange de cryptomonnaies pour geler ou récupérer les actifs lorsque cela est possible. L'équipe encourage également l'attaquant à prendre contact avec lui afin de discuter de la restitution des fonds et d'atténuer potentiellement les conséquences juridiques.

Un rapport technique complet devrait être publié une fois l'enquête interne terminée. ZKsync n'a pas révélé comment l'attaquant a accédé au compte administrateur, mais a confirmé qu'il s'agissait d'une clé compromise plutôt que d'une faille dans un contrat intelligent.

Cet événement marque un rappel significatif de la risques Associé à la gestion des clés dans les écosystèmes décentralisés, notamment lors des phases de distribution de jetons. Aucun calendrier n'a été communiqué concernant une éventuelle reprise ou de nouvelles mises à jour.

Clause de non-responsabilitéCet article est fourni à titre purement informatif et ne doit pas être considéré comme un conseil en trading ou en investissement. Rien de ce qu'il contient ne doit être interprété comme un conseil financier, juridique ou fiscal. Le trading ou l'investissement en cryptomonnaies comporte un risque considérable de perte financière. Veuillez toujours faire preuve de diligence raisonnable avant de prendre toute décision de trading ou d'investissement.