ZKsync confirma exploração de token de US$ 5 milhões vinculada a conta de administrador comprometida

Conteúdo

Compartilhar

O ZKsync tem confirmado Um incidente de segurança envolvendo a cunhagem não autorizada de aproximadamente US$ 5 milhões em tokens ZK após o comprometimento de uma conta de administrador vinculada aos seus contratos de distribuição de airdrop. A violação, que teve como alvo tokens não reivindicados de um airdrop recente, foi contida, de acordo com um comunicado divulgado pela equipe de segurança do ZKsync.

O invasor explorou uma função privilegiada no contrato de airdrop para cunhar aproximadamente 111 milhões de tokens ZK. Isso inflou o fornecimento total em circulação em 0.45%, embora o impacto se limite ao mecanismo de airdrop.

Incidente contido, sem risco de protocolo mais amplo

O ZKsync enfatizou que nenhum fundo de usuário foi afetado e que o protocolo mais amplo permanece seguro. O acesso não autorizado foi restrito a um endereço de administrador que supervisionava três contratos de distribuição de airdrops. O incidente não comprometeu o contrato do token ZK, o protocolo principal, os contratos de governança ou os mineradores ativos com limite.

A conta comprometida iniciou a transação de cunhagem, que agora está sob investigação. A carteira do invasor atualmente contém a maior parte dos tokens roubados em outro endereço. A organização esclareceu que nenhum token ZK adicional pode ser cunhado usando este método, afirmando que a vulnerabilidade foi totalmente explorada e não está mais ativa.

Esforços de recuperação em andamento enquanto a investigação continua

A ZKsync está trabalhando em conjunto com o grupo de segurança de blockchain SEAL 911 e coordenando com corretoras de criptomoedas para congelar ou recuperar ativos sempre que possível. A equipe também está incentivando o invasor a entrar em contato para discutir a devolução dos fundos e a possível mitigação das consequências legais.

Um relatório técnico completo deverá ser divulgado após a conclusão da investigação interna. A ZKsync não divulgou como o invasor obteve acesso à conta de administrador, embora tenha confirmado que o acesso se deveu a uma chave comprometida e não a uma falha de contrato inteligente.

Este evento marca um lembrete significativo da riscos associados à gestão de chaves em ecossistemas descentralizados, especialmente durante as fases de distribuição de tokens. Não foi divulgado um cronograma para possível recuperação ou atualizações futuras.

Aviso Legal: Este artigo destina-se exclusivamente a fins informativos e não deve ser considerado aconselhamento sobre negociação ou investimento. Nada aqui contido deve ser interpretado como aconselhamento financeiro, jurídico ou tributário. Negociar ou investir em criptomoedas acarreta um risco considerável de perdas financeiras. Sempre realize a devida diligência antes de tomar qualquer decisão de negociação ou investimento.