ZKsync обвалился после кражи токенов на $5 млн

Команда безопасности ZKsync выявила компрометацию административной учетной записи, через которую перехвачены токены ZK на ~$5 млн — это были невостребованные остатки после аирдропа. ZKsync security team has identified a compromised admin account that took control of ~$5M worth of ZK tokens — the remaining unclaimed tokens from the ZKsync airdrop. Necessary security measures are being taken.All user funds are safe and have never been at risk. The ZKsync…— ZKsync (∎, ∆) (@zksync) April 15, 2025 На фоне инцидента курс ZK в моменте просел на 17%, однако вскоре цена частично отыграла падение. 30-минутный график ZK/USDT биржи Binance. Данные: TradingView. «Все средства пользователей в безопасности и никогда не подвергались риску. Протокол ZKsync и смарт-контракт токена ZK остаются защищенными, и дальнейшая безопасность ZK не вызывает опасений», — написали представители проекта. Чуть позже исследователи выяснили, что соответствующий аккаунт (0x842822c797049269A3c29464221995C56da5587D) контролировал три контракта, отвечающих за распределение аирдропа. Update: the investigation has revealed that the account that was the admin of the three airdrop distribution contracts had been compromised. The compromised account address is 0x842822c797049269A3c29464221995C56da5587D.The attacker called the sweepUnclaimed() function that…— ZKsync (∎, ∆) (@zksync) April 15, 2025 «Атакующий вызвал функцию sweepUnclaimed(), выпустив примерно 111 млн невостребованных токенов ZK со смарт-контрактов аирдропа», — пояснили исследователи. По их расчетам, транзакция увеличила число токенов в обращении на ~0,45%. Эксперты подчеркнули, что инцидент затронул «исключительно контракты для распределения аирдропа; все подлежащие выпуску токены уже выпущены». Таким образом, повторное использование уязвимости невозможно.  Злоумышленник по-прежнему удерживает основную часть средств на этом адресе.  Напоследок проект сообщил о сотрудничестве с экспертами из Security Alliance и призвал атакующего выйти на связь для возврата средств во избежание правовых последствий. В 2021 и 2022 году ZKsync привлек $450 млн инвестиций.  В сентябре 2024 года CEO стоящей за протоколом компании Matter Labs Алекс Глуховски сообщил о сокращении штата сотрудников на 16%. В июне проект провел аирдроп 3,6 млн токенов ZK. После масштабной раздачи ключевые показатели существенно снизились. Напомним, стоящая за ZKsync ДАО досрочно завершила программу вознаграждений Ignite с 17 марта, сославшись на медвежьи условия на рынке. https://forklog.com/cryptorium/chto-takoe-zksync