Слой-2 решение для масштабирования Ethereum под названием zkSync было потрясено крупным нарушением безопасности 15 апреля 2025 года. Кошелек администратора, управляющий процессом airdrop протокола, был захвачен злоумышленниками. Нападающий, воспользовавшись функцией смарт-контракта под названием “sweepUnclaimed()”, выпустил в общей сложности 111 миллионов токенов ZK и присвоил активы на сумму около 5 миллионов долларов. Эта сумма составляет примерно 0,45% от общего предложения ZK.
После инцидента команда zkSync быстро intervenировала вместе с партнером по безопасности SEAL. После инцидента команда разработчиков zkSync начала операцию по восстановлению совместно с партнером по безопасности SEAL. В заявлении команды было указано, что атака была ограничена только управляющим кошельком, и средства пользователей не были непосредственно затронуты. Проведен аудит контрактов, относящихся к Airdrop, и функция "sweepUnclaimed()" была навсегда отключена.
Обновление: расследование показало, что аккаунт, который был администратором трех контрактов распределения аирдропов, был скомпрометирован. Адрес скомпрометированного аккаунта: 0x842822c797049269A3c29464221995C56da5587D.
Атакующий вызвал функцию sweepUnclaimed(), которая...
— ZKsync (∎, ∆) (@zksync) 15 апреля 2025 г.
После атаки цена токена ZK быстро упала на 18%, достигнув 0,040 доллара, однако в течение дня слегка восстановилась и торговалась в диапазоне 0,046–0,047 доллара. Этот инцидент снова поднял вопросы о безопасности административного доступа в протоколах второго уровня и прозрачности механизмов airdrop.
Однако в конце процесса произошло неожиданное развитие событий. Хакер принял предложение «бонуса» ( вознаграждения), которое команда zkSync предложила, после чего злоумышленник вернул 90% украденных токенов. Этот возврат был осуществлён 23 апреля в три отдельных транзакции на кошелёк Совета по безопасности ZKsync. Хакер получил оставшуюся часть в качестве вознаграждения с пометкой «белая шляпа».
Общая стоимость возвращенных активов, благодаря росту цен на ETH и ZK с момента происшествия, достигла даже более высокого уровня, чем на момент атаки. zkSync объявила, что готовится окончательный технический отчет по инциденту и будет подробно представлен сообществу. Общее мнение в сообществе заключается в том, что благодаря прозрачной коммуникации команды zkSync и гибкому управлению кризисом удалось избежать более серьезного кризиса доверия. Возврат средств и предпочтение пути согласия с хакером создали пример сценария "этического хака" для подобных случаев. Однако этот инцидент еще раз продемонстрировал, какие дополнительные риски могут существовать в структурах с высоким уровнем централизации внутри открытых финансовых систем.
Эта статья не содержит инвестиционных рекомендаций или советов. Каждое инвестиционное и торговое действие связано с риском, и читатели должны проводить собственные исследования при принятии решений.
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
ZKsync спас украденный токен стоимостью 5 миллионов долларов
Слой-2 решение для масштабирования Ethereum под названием zkSync было потрясено крупным нарушением безопасности 15 апреля 2025 года. Кошелек администратора, управляющий процессом airdrop протокола, был захвачен злоумышленниками. Нападающий, воспользовавшись функцией смарт-контракта под названием “sweepUnclaimed()”, выпустил в общей сложности 111 миллионов токенов ZK и присвоил активы на сумму около 5 миллионов долларов. Эта сумма составляет примерно 0,45% от общего предложения ZK.
После инцидента команда zkSync быстро intervenировала вместе с партнером по безопасности SEAL. После инцидента команда разработчиков zkSync начала операцию по восстановлению совместно с партнером по безопасности SEAL. В заявлении команды было указано, что атака была ограничена только управляющим кошельком, и средства пользователей не были непосредственно затронуты. Проведен аудит контрактов, относящихся к Airdrop, и функция "sweepUnclaimed()" была навсегда отключена.
После атаки цена токена ZK быстро упала на 18%, достигнув 0,040 доллара, однако в течение дня слегка восстановилась и торговалась в диапазоне 0,046–0,047 доллара. Этот инцидент снова поднял вопросы о безопасности административного доступа в протоколах второго уровня и прозрачности механизмов airdrop.
Однако в конце процесса произошло неожиданное развитие событий. Хакер принял предложение «бонуса» ( вознаграждения), которое команда zkSync предложила, после чего злоумышленник вернул 90% украденных токенов. Этот возврат был осуществлён 23 апреля в три отдельных транзакции на кошелёк Совета по безопасности ZKsync. Хакер получил оставшуюся часть в качестве вознаграждения с пометкой «белая шляпа».
Общая стоимость возвращенных активов, благодаря росту цен на ETH и ZK с момента происшествия, достигла даже более высокого уровня, чем на момент атаки. zkSync объявила, что готовится окончательный технический отчет по инциденту и будет подробно представлен сообществу. Общее мнение в сообществе заключается в том, что благодаря прозрачной коммуникации команды zkSync и гибкому управлению кризисом удалось избежать более серьезного кризиса доверия. Возврат средств и предпочтение пути согласия с хакером создали пример сценария "этического хака" для подобных случаев. Однако этот инцидент еще раз продемонстрировал, какие дополнительные риски могут существовать в структурах с высоким уровнем централизации внутри открытых финансовых систем.
Эта статья не содержит инвестиционных рекомендаций или советов. Каждое инвестиционное и торговое действие связано с риском, и читатели должны проводить собственные исследования при принятии решений.