Une faille dans le système de distribution de jetons ZKsync entraîne le vol de 5 millions de dollars de tokens, provoquant l'indignation de la communauté

Le protocole de couche 2 Ethereum ZKsync, a confirmé qu'environ 5 millions de dollars de jetons distribués par airdrop ont été volés suite à la compromission d'un compte administrateur, suscitant des inquiétudes quant à la sécurité des processus de distribution de jetons au sein de l'espace zk-rollup en évolution rapide.

Les fonds volés étaient les « jetons non réclamés restants de l'airdrop ZKsync », a écrit le projet sur X avant d'ajouter que « les mesures de sécurité nécessaires sont en cours de prise ».

L'entreprise a déclaré que l'incidentdenttractrac tractractractrac tractracBien que le piratage n'ait pu atteindre que la de la distribution , il a provoqué une vente massive et rapide, entraînant une chute brutalematic prix du jeton. Depuis l'dent , le jeton ZK a perdu 15 % de sa valeur.

Suite à l'attaque, ZKsync a indiqué prendre des mesures de sécurité pour résoudre le problème. L'entreprise a déclaré sur X avoir lancé une enquête interne.

Une faille de sécurité dans le compte d'administrateur a déclenché la création non autorisée de 111 millions de jetons ZK

Dans une récente mise à jour, ZKsync a révélé que le compte administrateur supervisant troistracavait été compromis. L'adresse du portefeuille concerné a étédentcomme étant 0x842822c797049269A3c29464221995C56da5587D.

Selon le message X, l'attaquant a appelé la fonction sweepUnclaimed() qui a créé environ 111 millions de jetons ZK à partir destrac. 

L'dent s'est limité auxtracde distribution de tokens par airdrop, et tous les tokens pouvant être créés via la méthode compromise l'ont déjà été. ZKsync a confirmé qu'aucune autre exploitation de cette faille n'est possible.

L'entreprise a réaffirmé que le protocole ZKsync, letracrelatif au jeton ZK, les troistracde gouvernance et tous les émetteurs de jetons actifs du programme de jetons à capacité limitée n'ont pas été et ne seront pas affectés par l'dent. ZKsync précise que l'attaquant détient toujours la majorité des fonds sur ce compte.

L'auteur de l'attaque a été prié de contacter [email protected] pour discuter du éventuel retour des fonds volés afin d'éviter des conséquences juridiques.

La communauté s'indigne et accuse ZKsync de mauvaise gestion 

Cetdent a suscité l'indignation parmi les membres de la communauté qui s'attendaient à recevoir une partie du largage aérien de ZKsync — une étape majeure pour le projet zk-rollup, qui vise à faire évoluer Ethereum avec des transactions à faible coût et à haute vitesse.

« Les mêmes jetons que vous n'avez pas su offrir à la communauté… Une bonne façon de se retirer, cependant… pas besoin de tout ce jargon, vendez et passez à autre chose », un utilisateur à la publication X de l'entreprise.

Un autre utilisateur a accusé ZKsync de vente et de tenter de dissimuler la vérité. Un utilisateur, que j'aidentcomme @TheBrownGentYT, a demandé pourquoi cela ne se produisait jamais avec leurs salaires, mais seulement avec les fonds alloués aux utilisateurs et à la communauté. Cet utilisateur a ajouté que tout le monde était au courant.

L' ZKsync équipe a demandé aux parties concernées de faire preuve de patience pendant qu'elle coordonne les efforts de rétablissement avec Security Alliance et les plateformes d'échange.