ZKsync обвалился после кражи токенов на $5 млн

Команда безопасности ZKsync выявила компрометацию административной учетной записи, через которую перехвачены токены ZK на ~$5 млн — это были невостребованные остатки после аирдропа.

На фоне инцидента курс ZK в моменте просел на 17%, однако вскоре цена частично отыграла падение.

«Все средства пользователей в безопасности и никогда не подвергались риску. Протокол ZKsync и смарт-контракт токена ZK остаются защищенными, и дальнейшая безопасность ZK не вызывает опасений», — написали представители проекта.

Чуть позже исследователи выяснили, что соответствующий аккаунт (0x842822c797049269A3c29464221995C56da5587D) контролировал три контракта, отвечающих за распределение аирдропа.

«Атакующий вызвал функцию sweepUnclaimed(), выпустив примерно 111 млн невостребованных токенов ZK со смарт-контрактов аирдропа», — пояснили исследователи.

По их расчетам, транзакция увеличила число токенов в обращении на ~0,45%. Эксперты подчеркнули, что инцидент затронул «исключительно контракты для распределения аирдропа; все подлежащие выпуску токены уже выпущены». Таким образом, повторное использование уязвимости невозможно. 

Злоумышленник по-прежнему удерживает основную часть средств на этом адресе. 

Напоследок проект сообщил о сотрудничестве с экспертами из Security Alliance и призвал атакующего выйти на связь для возврата средств во избежание правовых последствий.

В 2021 и 2022 году ZKsync привлек $450 млн инвестиций. 

В сентябре 2024 года CEO стоящей за протоколом компании Matter Labs Алекс Глуховски сообщил о сокращении штата сотрудников на 16%.

В июне проект провел аирдроп 3,6 млн токенов ZK. После масштабной раздачи ключевые показатели существенно снизились.

Напомним, стоящая за ZKsync ДАО досрочно завершила программу вознаграждений Ignite с 17 марта, сославшись на медвежьи условия на рынке.