Компрометация учетной записи ZKsync: ущерб ~$5 млн

Команда безопасности ZKsync обнаружила компрометацию административной учетной записи, через которую были украдены токены ZK на сумму около $5 миллионов — это невостребованные остатки, образовавшиеся после аирдропа.

[media=https://x.com/zksync/status/1912141160744632737?ref_src=twsrc%5Etfw]

На фоне данного инцидента курс токена ZK снизился на 17%, но позже частично восстановил свои позиции.

«Все средства пользователей в безопасности и никогда не подвергались риску. Протокол ZKsync и смарт-контракт токена ZK остаются защищенными, и дальнейшая безопасность ZK не вызывает опасений», — написали представители проекта.

Позже было установлено, что соответствующий аккаунт (0x842822c797049269A3c29464221995C56da5587D) управлял тремя контрактами, которые отвечают за распределение аирдропа.

[media=https://x.com/zksync/status/1912165357642473488?ref_src=twsrc%5Etfw]

«Атакующий вызвал функцию sweepUnclaimed(), выпустив примерно 111 миллионов невостребованных токенов ZK со смарт-контрактов аирдропа», — пояснили исследователи.

По расчетам экспертов, данная транзакция увеличила число токенов в обращении примерно на 0,45%. Важно отметить, что инцидент затронул только контракты для распределения аирдропа, и все подлежащие выпуску токены уже были выпущены. Следовательно, повторное использование этой уязвимости представляется невозможным.

Злоумышленник продолжает удерживать большинство средств на этом адресе.

В заключение, проект объявил о сотрудничестве с экспертами из Security Alliance и призвал атакующего выйти на связь для возврата средств во избежание правовых последствий.

В 2021 и 2022 годах ZKsync привлек $450 миллионов инвестиций.

В сентябре 2024 года генеральный директор компании Matter Labs, стоящей за протоколом, Алекс Глуховски, сообщил о сокращении штата сотрудников на 16%.

В июне проект провел аирдроп 3,6 миллиона токенов ZK. После этой масштабной раздачи ключевые показатели существенно снизились.

Отметим также, что ДАО, стоящее за ZKsync, досрочно завершило программу вознаграждений Ignite с 17 марта 2024 года, аргументировав это медвежьими условиями на рынке.