Компрометация учетной записи ZKsync: ущерб ~$5 млн
Команда ZKsync сообщила о краже токенов ZK на ~$5 млн и анализирует последствия инцидента.

Команда безопасности ZKsync обнаружила компрометацию административной учетной записи, через которую были украдены токены ZK на сумму около $5 миллионов — это невостребованные остатки, образовавшиеся после аирдропа.
[media=https://x.com/zksync/status/1912141160744632737?ref_src=twsrc%5Etfw]На фоне данного инцидента курс токена ZK снизился на 17%, но позже частично восстановил свои позиции.

«Все средства пользователей в безопасности и никогда не подвергались риску. Протокол ZKsync и смарт-контракт токена ZK остаются защищенными, и дальнейшая безопасность ZK не вызывает опасений», — написали представители проекта.
Позже было установлено, что соответствующий аккаунт (0x842822c797049269A3c29464221995C56da5587D) управлял тремя контрактами, которые отвечают за распределение аирдропа.
[media=https://x.com/zksync/status/1912165357642473488?ref_src=twsrc%5Etfw]«Атакующий вызвал функцию sweepUnclaimed(), выпустив примерно 111 миллионов невостребованных токенов ZK со смарт-контрактов аирдропа», — пояснили исследователи.
По расчетам экспертов, данная транзакция увеличила число токенов в обращении примерно на 0,45%. Важно отметить, что инцидент затронул только контракты для распределения аирдропа, и все подлежащие выпуску токены уже были выпущены. Следовательно, повторное использование этой уязвимости представляется невозможным.
Злоумышленник продолжает удерживать большинство средств на этом адресе.
В заключение, проект объявил о сотрудничестве с экспертами из Security Alliance и призвал атакующего выйти на связь для возврата средств во избежание правовых последствий.
В 2021 и 2022 годах ZKsync привлек $450 миллионов инвестиций.
В сентябре 2024 года генеральный директор компании Matter Labs, стоящей за протоколом, Алекс Глуховски, сообщил о сокращении штата сотрудников на 16%.
В июне проект провел аирдроп 3,6 миллиона токенов ZK. После этой масштабной раздачи ключевые показатели существенно снизились.
Отметим также, что ДАО, стоящее за ZKsync, досрочно завершило программу вознаграждений Ignite с 17 марта 2024 года, аргументировав это медвежьими условиями на рынке.