ZKsync 确认管理账户在空投合约中被黑客攻击：价值约 500 万美元的 ZK 代币遭到泄露

ZKsync的安全漏洞与其一项空投发放合约有关，导致大约500万美元的ZK代币被未经授权的清空。

ZKsync安全团队的官方声明指出，此次攻击是由于一个被攻破的管理员账户，攻击者因此获得了未领取的空投代币的访问权限。

该事件被描述为完全被控制和隔离。ZKsync 强调，在任何时候都没有用户资金受到影响，核心基础设施——包括 ZKsync 协议、ZK 代币合约以及所有治理相关合约——仍然完全安全。此次攻击并未影响生态系统中除了空投发放合约以外的任何其他部分。

被攻破的钱包已被确认是0x842822c797049269A3c29464221995C56da5587D，发现其对三个用于发放ZK代币的代币发放合约保留了管理员级别的控制权，这些合约用于空投ZK代币。利用这一控制，攻击者调用了sweep函数，使他们能够接收和控制大约1.11亿个尚未被合格接收者认领的ZK代币。

影响仅限于空投合约

此次未经适当授权的铸造事件导致流通中的ZK代币供应量增加了约0.45%。尽管与总供应量相比，这个数字相对较小，但这一事件特别引人注目，尤其是考虑到它的性质和发生的时间。相关代币并不是要以这种方式流通，而是注定要进行空投发放。

ZKsync迅速确认这是一次性事件，利用漏洞的全部程度已经显现。通过这种方法可以生成的所有代币已经生成，漏洞也已处理。目前没有持续的威胁，攻击者无法再利用同样的方式进行攻击。

必须理解的是，ZKsync协议、ZK代币合约、所有三个治理合约以及所有Token Program限制铸造者都没有被攻破，且完全正常运作。此事件不影响用户钱包、协议安全或代币合约的完整性。

大部分被盗代币仍然在攻击者手中。ZKsync已与区块链安全组织SEAL 911及多个交易所合作，开始恢复过程。这些交易所帮助监控、追踪并阻止被盗资金在洗钱或出售之前。ZKsync已公开邀请攻击者通过security@zksync.io与他们联系，以协商归还被盗资金，避免诉讼。

虽然事件的财务影响相对有限，但它加剧了人们对管理私钥和在智能合约中授予管理权限的更广泛担忧。

攻击者如何访问被泄露的管理员密钥仍然没有公开，但ZKsync已向其社区承诺，现在更加安全，内部调查正在进行中，并且这些措施应该能够防止类似事件再次发生。

加密社区对这一消息的反应不一。人们的担忧集中在泄露事件本身；而宽慰来自于似乎没有影响到其他系统的事实。ZKsync 在透明度方面做得很好，清楚地说明了发生了什么。很可能由于这种透明度，最终可能会从这一事件中获得一些良好的公关。但如果人们对 ZKsync 的空投访问大喊“事后诸葛亮”，那么他们就危险地接近成为对加密透明度的批评者。

空投过程中的信任在短期内受到了影响，但ZKsync平台的核心安全性和功能似乎是完好无损的。ZKsync处理此次事件的方式——迅速控制、清晰沟通，以及看似经过充分排练和协作执行的努力——表明该协议正在做必要的事情，以证明继续对该项目的信任是合理的。

免责声明：这不是交易或投资建议。在购买任何加密货币或投资任何服务之前，请务必进行研究。

关注我们的Twitter @themerklehash，获取最新的加密货币、NFT、人工智能、网络安全和元宇宙新闻！

ZKsync 确认空投合约中管理员账户被黑客攻击：约 500 万美元的 ZK 代币被泄露，首次出现在 The Merkle News。