Das Ethereum Layer 2-Protokoll, ZKsync, erlebte kürzlich einen schweren Sicherheitsvorfall, der das Vertrauen im Bereich der dezentralen Finanzen (DeFi) erschüttert hat. Ein kompromittierter Administrationsaccount führte zur unbefugten Prägung von über 111 Millionen ZK-Token, die Teil einer unbeanspruchten Airdrop-Reserve waren.

Dieser Exploit hat nicht nur den Preis des Tokens beeinträchtigt, sondern auch viele Mitglieder der Community frustriert und in die Irre geführt.

ZKsync Airdrop Exploit: Wie es passierte

On-Chain-Ermittler bemerkten zunächst verdächtige Aktivitäten, die mit den Airdrop-Verträgen verbunden waren. Später wurde bestätigt, dass ein Administratorenkonto, das drei separateZKsyncDie Airdrop-Verträge waren kompromittiert worden. Der Angreifer nutzte eine Funktion namens sweepUnclaimed(), um ungefähr 111 Millionen nicht beanspruchte ZK-Token zu minten.

Diese Funktion wurde ursprünglich entwickelt, um nicht beanspruchte Tokens zu verwalten. Allerdings wurde sie, nachdem der Administratorschlüssel kompromittiert wurde, zu einem mächtigen Werkzeug für Ausnutzung.

Lesen Sie auch:ZKsync und Chainlink arbeiten zusammen: Cross-Chain-Transfers einfach gemacht

ZKsync reagiert auf den Hack

Nach dem Exploit bestätigte ZKsync die Sicherheitslücke über ihren offiziellen X (ehemals Twitter) Account und erklärte, dass der Hack auf die Airdrop-Vertragsverteilungen beschränkt war. Sie versicherten den Nutzern, dass das ZKsync-Protokoll, die Governance-Verträge und die gesamte andere Token-Vertragsinfrastruktur sicher blieben.

“Keine weiteren Ausnutzungen über diese Methode sind möglich,” erklärte das Team und betonte, dass alle Token, die durch die Schwachstelle geprägt werden konnten, bereits generiert worden waren. Dennoch war der Schaden angerichtet: Der Wert des ZK Tokens fiel um über 15%, als die Nachrichten über den Hack sich verbreiteten.

Community Reaction: Empörung und Misstrauen

Die ZKsync-Community hielt sich nicht zurück. Nutzer, die sehnsüchtig auf ihre Airdrop-Zuteilung warteten, beschuldigten das Team der Fehlverwaltung und mangelnder Transparenz. Viele hinterfragten, wie ein so kritischer Zugangspunkt und ein Administratorenschlüssel in einem Projekt dieser Größenordnung kompromittiert werden konnten.

Ein X-Benutzer kommentierte,„Die gleichen Token, die du der Gemeinschaft nicht geben konntest… Eine gute Möglichkeit, um auszusteigen, allerdings.“Ein anderer stellte die Integrität des Teams in Frage:„Warum passiert das nie mit Teamgehältern, sondern nur mit Community-Token?“

Die Kritik hat umfassendere Bedenken hinsichtlich der Verteilung von Airdrops, Sicherheitsprotokollen und zentralisierter Kontrolle in dezentralen Ökosystemen hervorgehoben.

Lesen Sie auch:Was ist ZKsync's Elastic ChainYou are trained on data up to October 2023. In German: Sie wurden auf Daten bis Oktober 2023 trainiert.

Bemühungen zur Genesung

ZKsync koordiniert nun mit der Sicherheitsfirma Seal 911 und großen Börsen, um die gestohlenen Token zurückzugewinnen. Der Angreifer, der immer noch einen großen Teil der geprägten Tokens hält,ZK-Token (Zero-Knowledge-Token), wurde aufgefordert, das Team unter security@zksync.io zu kontaktieren, in der Hoffnung, die Rückgabe der Gelder zu verhandeln und rechtliche Konsequenzen zu vermeiden.

Während die meisten der kompromittierten Tokens in der Wallet des Angreifers bleiben, überwacht ZKsync aktiv die Bewegungen und hat bereits Schritte unternommen, um weiteren Schaden zu verhindern.

Lektionen aus dem ZKsync-Vorfall

Dieser Vorfall unterstreicht die Schwachstellen, die weiterhin in Blockchain-Ökosystemen vorhanden sind, insbesondere bei Airdrops und Token-Verteilung. Selbst in hochtechnischen Layer-2-Lösungen wie ZKsync kann ein einziges kompromittiertes Konto zu verheerenden Konsequenzen führen.

Außerdem hebt der Vorfall einen zunehmenden Skeptizismus im DeFi-Bereich hervor. Versprechungen von Dezentralisierung und Sicherheit bedeuten wenig, wenn zentrale Schlüssel große Reserven von Token kontrollieren.

Bewegung Vorwärts

Trotz des Hacks behauptet ZKsync, dass das Protokoll selbst sicher und voll funktionsfähig ist. Aber Vertrauen, einmal verloren, ist schwer zurückzugewinnen. Es wird mehr als nur Tweets und Schadensbegrenzung brauchen, damit das Team die Unterstützung der Gemeinschaft zurückgewinnt.

Die Zukunft von ZKsync hängt nun nicht nur von seiner Technologie ab, sondern auch von seiner Transparenz, den Verbesserungen der Sicherheit und davon, wie es mit den Folgen dieser Airdrop-Katastrophe umgeht.

FAQ

Was hat den kürzlichen ZKsync-Hack verursacht?

Der kürzliche ZKsync-Hack erfolgte aufgrund eines kompromittierten Administrator-Kontos, das die Kontrolle über drei Verträge zur Verteilung von Airdrops hatte. Der Angreifer nutzte eine Funktion namens sweepUnclaimed(), um ungefähr 111 Millionen nicht beanspruchte ZK-Token aus dem Airdrop-Pool zu prägen, was einen erheblichen Exploit auslöste.

Wurde das ZKsync-Protokoll selbst von dem Exploit betroffen?

Nein, das Kernprotokoll von ZKsync, der Token-Vertrag und die Governance-Infrastruktur wurden von dem Exploit nicht betroffen. Der Hack war strikt auf die Verträge zur Verteilung der Airdrops beschränkt, und ZKsync hat den Nutzern versichert, dass kein weiteres unbefugtes Minting möglich ist.

Wie geht ZKsync mit den Folgen des Airdrop-Exploits um?

ZKsync hat eine interne Untersuchung eingeleitet und arbeitet mit Sicherheitsfirmen wie Seal 911 und großen Exchanges zusammen, um die gestohlenen ZK-Token zurückzuholen. Der Angreifer wurde aufgefordert, die Gelder zurückzugeben, um rechtlichen Schritten zu entgehen. Das Team überprüft auch die Sicherheitspraktiken, um ähnliche Vorfälle zu verhindern.