ZKSync 证实,一名黑客从其 ZK 代币空投trac中窃取了近 500 万美元,该黑客已在项目 72 小时的“安全港”窗口期内将每一分钱都归还了。.
发布消息称:“我们很高兴地宣布,黑客已配合调查,并在安全港期限内归还了资金。此案现已结案。”
大约 4460 万个 ZK 代币和约 1800 个 ETH 已转移到 ZKSync 安全委员会,该委员会将通过治理决定如何重新分配这些资产。.
攻击者利用空投漏洞铸造代币。
此次退款结束了本周早些时候发生的一起利用与空投合约关联的被盗私钥trac攻击事件,该攻击使攻击者能够铸造额外的代币并转移无人认领的资金。
罪犯通过 Ethereum (ETH) 和 ZKSync 的二层网络转移了资金。.
该漏洞并未影响更广泛的协议基础设施、ZK 代币trac或治理操作。.
攻击者绕过了正常的分配流程,窃取了网络初始分配轮次中无人认领的代币。链上数据显示,攻击者随后将价值 350 万美元的被盗 ZK 代币兑换成了 Ethereum。.
ZKSync 向用户保证,该dent 不会损害客户资金或核心基础设施。.
ZKSync在周二发布的一份声明中表示:“所有用户资金都是安全的,从未面临风险。ZKsync协议和ZK代币trac始终安全无虞。”
随后,该协议发布了一条链上消息,承诺如果攻击者在 3 天内归还 90% 的资金,则给予 10% 的赏金。.
该提案包括用于在 ZKSync Era 网络和 Ethereum主网上转移 ZK 和 ETH 代币的特定钱包地址。.
另一方面,ZKSync 曾警告黑客,如果不遵守这些条款,将会把此事上报执法部门,进行“全面的刑事调查”。
数据其价格稳定在接近 0.05 美元,在过去 24 小时内下跌了 2.6% 。
ZKSync表示,在黑客归还资金后,最终调查报告正在撰写中。据该团队称,报告完成后将予以公布。此次事件dent引发了人们对智能合约访问控制的关注trac尤其是管理员密钥安全和空投机制。
第一季度加密货币黑客攻击损失飙升至 16.7 亿美元,关键漏洞和交易所攻击事件激增
此次黑客攻击是2025年困扰加密货币领域的一系列攻击事件中的最新一起。据区块链安全公司Immunefi称,今年前两个月,约有16亿美元的加密货币被盗。.
区块链安全公司 CertiK 的另一份报告描绘了同样令人担忧的景象,报告显示,今年第一季度因黑客攻击、诈骗和漏洞利用而损失的金额高达 16.7 亿美元——这已经占到 2024 年被盗资金总额的三分之二以上。.
这一切价值的很大一部分都可归咎于灾难性的Bybit漏洞(损失了 14.5 亿美元),这引发了一些关于中心化交易所正在部署的安全措施的棘手问题。
涉及私钥泄露的dent仍然是资金盗窃的第一大原因,共发生 15 起案件,损失金额达 1.423 亿美元。.
更令人担忧的是,第一季度仅追回了0.38%的被盗资金,而第四季度追回率高达42%。值得注意的是,2025年2月被盗的资金一分钱也没追回。.
Ethereum 仍然是受攻击最严重的区块链,遭受了 98 次攻击,被盗金额高达 15.4 亿美元。.
