В апреле 2025 года известная платформа ZKsync объявила о серьезном инциденте безопасности, который вызвал широкий резонанс в криптовалютном сообществе. Злоумышленник получил доступ к одному из административных аккаунтов, связанного с контрактами аирдропа, и нелегально заминтил токены ZK на сумму приблизительно в 5 миллионов долларов. Этот случай вновь продемонстрировал той угрозы, с которыми сталкиваются децентрализованные проекты, особенно когда речь идет о хранении и защите приватных ключей. ZKsync – это современный протокол второго уровня на базе Ethereum, нацеленный на решение проблем масштабируемости и высокой комиссии сети. Одной из востребованных функций экосистемы являются аирдропы — раздачи токенов пользователям в целях стимулирования их участия и поддержки сообщества.
В данном инциденте именно распределение неактивированных, оставшихся аирдропом токенов стало мишенью хакера. Сам инцидент произошел в результате компрометации административного аккаунта, который управлял аирдроп контрактами. Взломщик использовал привилегированный метод контракта, позволяющий выпускать новые токены, что обычно строго контролируется и ограничено. В результате злоумышленник заминтил около 111 миллионов новых токенов ZK. Это увеличило общий обращающийся объем токенов на 0,45%, что относительно невелико, однако нанесло ощутимый вред доверию пользователей к проекту.
Важным является тот факт, что инцидент был ограничен только распределением токенов аирдропа и не затронул основной контракт токена, протокол ZKsync, его механизмы управления и другие активные минтеры с ограничениями. По официальным заявлениям команды безопасности платформы, средства пользователей не были под угрозой, и их кошельки остались в безопасности. Представители ZKsync быстро среагировали на инцидент, объявив о его полном локализовании. Они привлекли для расследования группу безопасности SEAL 911, а также начали взаимодействие с криптобиржами с целью заморозки и потенциального возврата украденных активов. Также платформа призвала злоумышленника связаться с командой для обсуждения возврата средств и смягчения юридических последствий.
Несмотря на усилия, пока не разглашается, как именно злоумышленнику удалось получить доступ к админ-аккаунту. Команда ZKsync отметила, что причина инцидента заключалась в компрометации приватного ключа, а не в уязвимостях смарт-контракта. Это подчеркивает важность надлежащего управления ключами и усиленной защиты административных прав в блокчейн-проектах, особенно когда они связаны с крупными суммами токенов и механизмами доступа с привилегиями. Случай с ZKsync — это не редкость в криптоиндустрии. За последние годы жертвами атак зачастую становились именно админ-аккаунты или ключи, по которым злоумышленники получают доступ к функциям выпуска и распределения токенов.
Даже если базовые контракты и протоколы остаются безопасными, именно утечка ключей или недостатки в управлении ими способны привести к значительным финансовым потерям и потере репутации. Данный инцидент служит важным уроком для всех проектов, работающих в сфере децентрализованных финансов. Необходимость использования мультиподписных кошельков, аппаратных устройств для хранения ключей и тщательного аудита процессов доступа стала еще более очевидной. Кроме того, аудит безопасности должен охватывать не только код контрактов, но и процессы управления сопутствующими активами и правами доступа. Общественность и инвесторы внимательно следят за действиями ZKsync, так как успешное решение проблемы и прозрачность коммуникации играют большую роль в восстановлении доверия к платформе.
