В начале 2025 года проект ZKsync, известный своей технологией масштабирования Ethereum с помощью zk-rollup решений, столкнулся с серьезным инцидентом безопасности. Хакеры получили доступ к администраторскому аккаунту, что позволило им несанкционированно создать и вывести около 111 миллионов токенов ZK, оцениваемых примерно в 5 миллионов долларов. Этот случай вызвал бурную реакцию сообщества, сомнения в компетентности команды и вопросы относительно защиты пользовательских активов в протоколе. Основной причиной взлома стал компрометированный ключ администратора, контролирующего контракты распределения аирдропа токенов ZKsync. С помощью процедуры sweepUnclaimed() злоумышленники смогли вызвать нежелательное создание токенов, которое ранее было защищено.
В результате были выведены остатки нефинансированных токенов аирдропа, которые предназначались для пользователей, еще не забравших свои средства. Компания ZKsync оперативно отреагировала на случившееся, заявив, что инцидент ограничен лишь контрактом аирдропа и не затрагивает основные протоколы, контракты управления и другие компоненты экосистемы. Тем не менее, последовавшая за взломом быстрая продажа украденных токенов вызвала падение цены ZK на 15 процентов, что негативно отразилось на инвестиционной привлекательности проекта и настроениях среди держателей криптовалюты. Команда разработчиков сообщила, что ситуация полностью контролируется, а дальнейшие атаки такого рода невозможны из-за примененных мероприятий безопасности. В поисках справедливости и восстановления доверия, ZKsync призвал злоумышленников выйти на контакт для обсуждения возврата средств, угрожая в противном случае юридической ответственностью.
Общественная реакция на взлом оказалась негативной. Многие пользователи выразили разочарование и гнев относительно того, как был организован процесс распределения токенов, и отметили, что подобные инциденты подрывают доверие к проекту. Некоторые участники подчеркнули разницу в обращении с фондами проекта и личными выплатами, усомнившись в приоритетах команды. Подобные комментарии демонстрируют важность прозрачности и надежной защиты личных данных в криптоиндустрии. Не менее важно, что инцидент с ZKsync поднимает вопрос о безопасности в zk-rollup решениях, которые становятся все более популярными благодаря обещаниям масштабирования Ethereum без ущерба для безопасности и децентрализации.
Уязвимости, связанные с администраторскими ключами и контрактами распределения аирдропов, требуют серьезного внимания не только со стороны разработчиков ZKsync, но и всей отрасли в целом. В ответ на критику и с целью укрепления системы безопасности команда ZKsync объявила о начале внутреннего расследования вместе с партнерскими организациями, занимающимися кибербезопасностью и обменами криптовалюты. В долгосрочной перспективе разработчики планируют пересмотреть архитектуру управления контрактами и ввести дополнительные меры контроля доступа и мониторинга аномалий, чтобы минимизировать риски подобных атак в будущем. Кроме того, проект призывает своих пользователей сохранять бдительность и использовать все доступные инструменты для защиты своих цифровых активов, включая аппаратные кошельки, двухфакторную аутентификацию и регулярный аудит своих учетных записей. Несмотря на сложившуюся ситуацию, команда подчеркнула приверженность развитию технологии и построению устойчивой, безопасной экосистемы для всех участников.
Эксперты отрасли отмечают, что инциденты с кражей токенов и взломами аккаунтов администратора — не редкость в криптомире. Рост числа проектов, предоставляющих инновационные решения DeFi и масштабирования, одновременно увеличивает злоумышленников, ищущих уязвимости. Таким образом, для успешного развития и получения доверия пользователей всем участникам экосистемы необходимо прилагать максимальные усилия к обеспечению безопасности и прозрачности. В заключение, кража токенов на 5 миллионов долларов в проекте ZKsync стала не только серьезным испытанием для команды и ее сообщества, но и важным уроком для всей индустрии. Понимание уязвимостей и своевременное реагирование на инциденты являются основой для дальнейшего роста и укрепления доверия в сфере блокчейн-технологий.
Команда ZKsync продолжает работать над устранением последствий и внедрять новейшие методы защиты, чтобы восстановить уверенность пользователей и продвигать развитие безопасного Web3 будущего.
