Інцидент із безпекою похитнув мережу рівня рівня Zskync-2: 15 квітня, що піддається впливу облікового запису адміністратора, призвів до того, що Mint з пропущеними токенами Airdrop на суму близько 5 мільйонів доларів. Хоча кошти користувача залишаються недоторканими, подія підкреслює, як залишки Аеродром Розподіл може стати мішенню для поганих акторів, якщо вони не належним чином захищені.
Цільові жетони Airdrop
ZKSYNC спочатку становив 3,6 мільярда жетонів ZK у червні 2024 року, щоб винагородити епоху раннього прийняття ZKSYNC та ZKSYNC Lite. Незважаючи на цей широкий розподіл мільйонів жетонів — складання майже до 5 мільйонів доларів — залишався пропущеним. Ці жетони жили у трьох інтелектуальних контрактах, контрольованих адміністративним рахунком, який був порушений.
За ZKSYNC заяваЗловмисник назвав функцію під назвою Wailclalion () у контракті AirDrop, тим самим вибивши 111 мільйонів жетонів ZK. Цей рух ефективно збільшив циркуляцію постачання приблизно на 0,45% від загальної постійної постачання 21 мільярда жетонів.
Функція існувала, щоб забезпечити стягнення пропущених жетонів після періоду претензії, але вона була ціль -олі За доступом лише до адміністрації доступу, який використовувався після порушення ключа адміністратора.
Незважаючи на те, що 5 мільйонів доларів є відносно скромним порівняно з ширшим криптографічним простором, кожен несанкціонований Картинг Це викликає занепокоєння щодо безпеки договорів та залишків жетонів.
Інцидент
ZKSYNC підкреслює, що цей хак був ізольований до контракту AirDrop і не впливав на портфелі користувачів або на основну угоду маркера ZK. Кадри управління та сам протокол залишаються неушкодженими, без будь -яких прогалин у безпеці поза ключем адміністратора, що зникає. Крім того, ZKSYNC запевнив суспільство, що подальше використання неможливо використовувати функцію SapeUnclained (), оскільки зловмисник вже взяв усі модні жетони.
Незважаючи на це, ситуація відновлює дискусії щодо розробки договорів та ключових адміністративних безпеки. Найкращі практики-як використання гаманців Multisig для критичних функцій адміністратора, впровадження блокуючих або проектування контрактів з параметрами, що не змінюються, пом’якшуються або запобігають порушенню.
Тим не менш, інцидент спричинив мінливість цін. Одного разу 15 квітня значення ZK знизилося на 16% до 0,040 доларів США, хоча згодом збільшилось приблизно до 0,047 дол. Незважаючи на це, токен впав приблизно на 7% за останні 24 години, що відображає постійну обережність на ринку після розкриття хакла.
Історія
У 2024 році Airdrop ZKSync був значущим, виділяючи значне постачання жетонів як нагороду учасникам екосистеми. Користувачі, які внесли свій внесок у епоху ZSKYNC та ZKSYNC Lite, отримали різну кількість ZK на основі їх діяльності, але деякі залишалися пропущеними. Вони пропущені жетони закінчилися централізованими на основі трьох угод про розподіл, в кінцевому рахунку, що робить їх нагородою з високою вартістю для всіх, хто встиг порушити безпеку адміністративного рахунку.
Реагування та відновлення зусиль
У русі, щоб захистити від подальшої шкоди, ZKSYNC звернувся, щоб допомогти Альянс безпеки (Печатка). Портфоліо зловмисника — що містить більшість нещодавно розбитих жетонів — залишається суворо контрольованим, і ZSNNC публічно попросив досягти переговорів про повернення. Якщо це не вдасться, компанія може шукати юридичні канали для вирішення крадіжок.
ZKSYNC підкреслює, що решта його архітектури — включаючи механізми управління, компоненти мостів та постачання жетонів — забезпечують безпечне. Протокол також стверджує, що останки слабість Ключ адміністратора був нейтралізований і що на даний момент не потрібні додаткові заходи безпеки.
Чекаю чогось
Хоча HACK не включав депозити користувачів або основну інфраструктуру протоколу, він викликає питання про те, як зберігаються та захищені залишки жетонів Airdrop. Розподіл жетонів членам громади може бути ефективним способом нагородження ранньої участі, але неоплачені частини можуть стати однією точкою невдачі, якщо вони контролюються одним привілейованим рахунком.
Швидка реакція слабкої та прозорої комунікації допомогла містити проблему. Однак виявиться, чи зловмисник із задоволенням поверне викрадені жетони. По мірі розвитку мережі — на даний момент вона має 57,3 мільйона доларів закритої вартості, за словами Pepillam — і користувачі, і розробники ретельно дотримуватимуться, які додаткові заходи безпеки впроваджуються SPS для запобігання майбутнього компромісу адміністративного ключа.