Un incidente de seguridad ha sacudido la red ZKSYNC Layer-2: el 15 de abril, una cuenta de administración comprometida condujo a la acuñado de aproximadamente $ 5 millones en tokens airdrop no reclamados. Aunque los fondos de los usuarios permanecen intactos, el evento resalta cómo sobrante entrega por paracaídas Las asignaciones pueden convertirse en un objetivo para los malos actores si no se aseguran adecuadamente.
Tokens AirDrop no reclamados dirigidos
Zksync originalmente en avión de 3,6 mil millones de tokens ZK en junio de 2024 para recompensar a los primeros usuarios de la era de Zksync y Zksync Lite. A pesar de esta extensa distribución, millones de tokens, que cuestionan a casi $ 5 millones, no se reclamaron. Estos tokens residían en tres contratos inteligentes supervisados por una cuenta de administración, que se vio comprometida.
Según Zksync’s declaraciónel atacante llamó a una función llamada SweepClaimed () en el contrato de AirDrop, acuñando así 111 millones de tokens ZK. Este movimiento aumentó efectivamente el suministro circulante en alrededor del 0,45% de un suministro fijo total de 21 mil millones de tokens.
La función existía para permitir la recuperación de tokens no reclamados después del período de reclamo, pero fue cerrado Detrás de acceso solo a administración, un punto de acceso que fue explotado una vez que la clave de administración se vio comprometida.
Mientras que $ 5 millones son relativamente modestos en comparación con el espacio criptográfico más amplio, cualquier no autorizado acuñación Aumenta las preocupaciones sobre la seguridad del contrato y el manejo de token sobrantes.
Alcance del incidente
ZKSYNC enfatiza que este truco se aisló al contrato de AirDrop y no afectó las billeteras del usuario o el contrato principal de token ZK. El marco de gobernanza y el protocolo en sí permanecen intactos, sin vulnerabilidades reportadas más allá de la clave de administración comprometida. Además, Zksync ha asegurado al público que no son posibles más exploits a través de la función Sweepleimed (), ya que el atacante ya ha tomado todos los tokens acomodables.
Aún así, la situación ha reavivado el debate sobre el diseño de contratos y la seguridad clave de administración. Las mejores prácticas, como el uso de billeteras multisig para funciones de administración críticas, implementando operaciones bloqueadas por el tiempo o diseñar contratos con parámetros inmutables, MIGHT ha mitigado o evitado la violación.
Sin embargo, el incidente provocó la volatilidad de los precios. En un momento del 15 de abril, el valor de ZK había deslizado un 16% a $ 0.040, aunque luego se recuperó a alrededor de $ 0.047. Aún así, el token permanece bajo aproximadamente un 7% en las últimas 24 horas, lo que refleja la cautela en curso del mercado después de la divulgación del hack.
Historia de la airdrop
El airdrop de Zksync en 2024 fue significativo, asignando un suministro considerable de tokens como recompensa para los participantes del ecosistema. Los usuarios que contribuyeron a la era de Zksync y Zksync Lite recibieron cantidades variables de ZK en función de su actividad, pero una porción permaneció sin reclamar. Estos tokens no reclamados terminaron centralizados bajo tres contratos de distribución, lo que finalmente los convierte en un premio de alto valor para cualquiera que lograra violar la seguridad de la cuenta de administración.
Esfuerzos de respuesta y recuperación
En un movimiento para proteger contra más daños, Zksync ha solicitado la ayuda de la Alianza de seguridad (SELLO). La billetera del atacante, que contiene la mayoría de los tokens recién acuñados, los semanales monitoreados de cerca, y Zksync ha solicitado públicamente que el individuo llegue a negociar la devolución de los fondos. Si eso falla, la compañía podría buscar canales legales para abordar el robo.
Zksync enfatiza que el resto de su arquitectura, incluidos los mecanismos de gobernanza, los componentes de puente y los suministros de tokens, se aseguran. El protocolo también afirma que sobrante vulnerabilidades Desde la clave de administración comprometida se han neutralizado y que no se necesitan medidas de seguridad adicionales orientadas al usuario en este momento.
Pensando en el futuro
Si bien el truco no involucró depósitos de usuarios o infraestructura de protocolo central, plantea preguntas sobre cómo se almacenan y aseguran los tokens AirDrop sobrantes. Distribuir tokens a los miembros de la comunidad puede ser una forma efectiva de recompensar la participación temprana, pero las porciones no reclamadas pueden convertirse en un solo punto de falla si están controladas por una cuenta privilegiada.
La rápida respuesta y la comunicación transparente de Zksync han ayudado a contener el problema. Sin embargo, queda por ver si el atacante devolverá voluntariamente los tokens robados. A medida que la red continúa creciendo, actualmente tiene $ 57.3 millones en valor total bloqueado, según Defillama, los usuarios y los desarrolladores observarán de cerca para ver qué medidas de seguridad adicionales implementa ZKSYNC para evitar futuros compromisos clave de administración.
