Protocol warstwy 2 Ethereum, ZKsync, niedawno doświadczył poważnego naruszenia, które wstrząsnęło zaufaniem w przestrzeni zdecentralizowanych finansów (DeFi). Skonfiskowane konto administracyjne doprowadziło do nieautoryzowanego wyemitowania ponad 111 milionów tokenów ZK, które były częścią rezerwy nieodebranych airdropów.

Ten exploit wpłynął nie tylko na cenę tokena, ale także pozostawił wielu członków społeczności czujących się sfrustrowanych i wprowadzonych w błąd.

ZKsync Airdrop Exploit: Jak to się stało

Śledczy on-chain najpierw zauważyli podejrzaną działalność powiązaną z kontraktami airdropowymi. Później potwierdzono, że konto administratora nadzorującego trzy oddzielneZKsyncKontrakty airdrop zostały skompromitowane. Napastnik użył funkcji nazwanej sweepUnclaimed(), aby wyemitować około 111 milionów nieodebranych tokenów ZK.

Ta funkcja została pierwotnie zaprojektowana do obsługi nieprzydzielonych tokenów. Jednak po złamaniu klucza administratora stała się potężnym narzędziem do eksploatacji.

Przeczytaj także :ZKsync i Chainlink współpracują: Przenoszenie między łańcuchami stało się proste

ZKsync Reaguje na Hacking

Po wycieku, ZKsync potwierdził naruszenie za pośrednictwem swojego oficjalnego konta na X (dawniej Twitter), stwierdzając, że włamanie było ograniczone do umów dystrybucji airdropów. Zapewnili użytkowników, że protokół ZKsync, umowy zarządzające i cała pozostała infrastruktura umów tokenów pozostały bezpieczne.

“Nie ma już możliwości dalszych exploitów tą metodą,” stwierdził zespół, podkreślając, że wszystkie tokeny, które mogły być wyemitowane za pośrednictwem tej luki, zostały już wygenerowane. Niemniej jednak, szkody zostały wyrządzone: wartość tokena ZK spadła o ponad 15% w miarę jak wieści o hacku się rozprzestrzeniały.

Reakcja społeczności: Oburzenie i brak zaufania

Społeczność ZKsync nie zamierzała się wstrzymywać. Użytkownicy, którzy pilnie oczekiwali na swoją alokację airdropu, oskarżyli zespół o złe zarządzanie i brak przejrzystości. Wiele osób zastanawiało się, jak tak kluczowy punkt dostępu i klucz administracyjny mogły zostać skompromitowane w projekcie tej skali.

Użytkownik One X skomentował,„Te same tokeny, których nie mogłeś przekazać społeczności… Dobry sposób na wyjście, jednak.”Inny kwestionował integralność zespołu:„Dlaczego to nigdy nie zdarza się w przypadku wynagrodzeń zespołu, tylko z tokenami społecznościowymi?”

Krytyka podkreśliła szersze obawy związane z dystrybucją airdropów, protokołami bezpieczeństwa oraz centralizowaną kontrolą w zdecentralizowanych ekosystemach.

Przeczytaj także :

Co to jest łańcuch elastyczny ZKsync?

Wysiłki na rzecz odbudowy

ZKsync obecnie współpracuje z firmą zabezpieczającą Seal 911 oraz dużymi giełdami w celu odzyskania skradzionych tokenów. Napastnik, który wciąż posiada dużą część wybitychZK tokeny, wezwano do skontaktowania się z zespołem pod adresem security@zksync.io w nadziei na wynegocjowanie zwrotu funduszy i uniknięcie konsekwencji prawnych.

Podczas gdy większość skompromitowanych tokenów pozostaje w portfelu napastnika, ZKsync aktywnie monitoruje ruchy i już podjęło kroki, aby zapobiec dalszym szkodom.

Lekcje z naruszenia bezpieczeństwa ZKsync

To zdarzenie podkreśla wciąż obecne luki w ekosystemach blockchain, szczególnie tych związanych z airdropami i mechaniką dystrybucji tokenów. Nawet w wysoko zaawansowanych rozwiązaniach warstwy 2, takich jak ZKsync, jedno skompromitowane konto może prowadzić do katastrofalnych konsekwencji.

Ponadto, naruszenie to podkreśla rosnący sceptycyzm w przestrzeni DeFi. Obietnice decentralizacji i bezpieczeństwa niewiele znaczą, gdy scentralizowane klucze kontrolują ogromne rezerwy tokenów.

Przechodząc do przodu

Pomimo włamania, ZKsync utrzymuje, że sam protokół jest bezpieczny i w pełni operacyjny. Jednak zaufanie, raz utracone, trudno odzyskać. To wymaga więcej niż tylko tweetów i działań naprawczych, aby zespół mógł odzyskać wsparcie społeczności.

Przyszłość ZKsync teraz zależy nie tylko od jego technologii, ale także od przejrzystości, poprawy bezpieczeństwa oraz sposobu, w jaki poradzi sobie z konsekwencjami tej katastrofy związanej z airdropem.

FAQ

Co spowodowało ostatni atak ZKsync?

Niedawne włamanie do ZKsync miało miejsce z powodu skompromitowanego konta administratora, które miało kontrolę nad trzema umowami dystrybucji airdrop. Napastnik użył funkcji o nazwie sweepUnclaimed(), aby wyemitować około 111 milionów niezgłoszonych tokenów ZK z puli airdrop, uruchamiając poważny wyzysk.

Czy protokół ZKsync został sam w sobie dotknięty tym exploitem?

Nie, podstawowy protokół ZKsync, umowa tokenowa oraz infrastruktura zarządzania nie zostały dotknięte przez exploit. Hacking był ograniczony wyłącznie do kontraktów dystrybucji airdropu, a ZKsync zapewnił użytkowników, że nie jest możliwe dalsze nieautoryzowane minowanie.

Jak ZKsync radzi sobie z konsekwencjami exploitacji związanej z airdropem?

ZKsync przeprowadził wewnętrzne śledztwo i współpracuje z firmami zabezpieczającymi, takimi jak Seal 911, oraz z głównymi giełdami, aby odzyskać skradzione tokeny ZK. Atakujący został poproszony o zwrot funduszy, aby uniknąć działań prawnych. Zespół przegląda również praktyki bezpieczeństwa, aby zapobiec podobnym incydentom.