Хакер воспользовался уязвимостью в ключах администратора и вывел 111 млн токенов ZK
Проект ZKsync, работающий на Ethereum в сегменте zk-rollup решений, подтвердил утечку около $5 млн в токенах ZK, предназначенных для аирдропа. Причиной стало компрометирование приватного ключа администратора, управлявшего распределением невыданных токенов.
Инцидент вызвал не только обвал цены на 15%, но и шквал критики со стороны сообщества, ожидавшего раздачи как одного из главных событий года.
Читать также на Coinspot: данные пользователей Ledger, Gemini и Robinhood оказались в продаже на даркнете — фишинг и утечки усиливаются. На фоне роста интереса к Web3 безопасность снова выходит на первый план.
Как именно был проведен взлом
Команда ZKsync подтвердила: злоумышленник получил доступ к админ-аккаунту, контролировавшему три аирдроп-контракта. Через функцию sweepUnclaimed() он сумел сгенерировать 111 млн ZK, представляющих собой невыданные токены из пула для пользователей.
Ключевые контракты — включая протокол ZKsync, основной токен, систему управления и минтеров из программы Token Program — не пострадали. Вся активность была ограничена только пулом аирдропа.
Хакеру предложили связаться с проектом по адресу [email protected] для обсуждения возврата средств.
Сообщество негодует: «Свои зарплаты не теряете…»
Ответ от команды ZKsync не удовлетворил пользователей. Комментарии под официальным постом в X наполнены сарказмом и обвинениями:
«Интересно, почему такие инциденты случаются только с деньгами комьюнити, а не с зарплатами команды?..»
Другой пользователь добавил:
