Взлом аирдроп-контракта ZKsync привел к краже $5 млн — сообщество обвиняет команду

Хакер воспользовался уязвимостью в ключах администратора и вывел 111 млн токенов ZK

Проект ZKsync, работающий на Ethereum в сегменте zk-rollup решений, подтвердил утечку около $5 млн в токенах ZK, предназначенных для аирдропа. Причиной стало компрометирование приватного ключа администратора, управлявшего распределением невыданных токенов.

Инцидент вызвал не только обвал цены на 15%, но и шквал критики со стороны сообщества, ожидавшего раздачи как одного из главных событий года.

Читать также на Coinspot: данные пользователей Ledger, Gemini и Robinhood оказались в продаже на даркнете — фишинг и утечки усиливаются. На фоне роста интереса к Web3 безопасность снова выходит на первый план.

Как именно был проведен взлом

Команда ZKsync подтвердила: злоумышленник получил доступ к админ-аккаунту, контролировавшему три аирдроп-контракта. Через функцию sweepUnclaimed() он сумел сгенерировать 111 млн ZK, представляющих собой невыданные токены из пула для пользователей.

Ключевые контракты — включая протокол ZKsync, основной токен, систему управления и минтеров из программы Token Program — не пострадали. Вся активность была ограничена только пулом аирдропа.

Хакеру предложили связаться с проектом по адресу security@zksync.io для обсуждения возврата средств.

Сообщество негодует: «Свои зарплаты не теряете…»

Ответ от команды ZKsync не удовлетворил пользователей. Комментарии под официальным постом в X наполнены сарказмом и обвинениями:

«Интересно, почему такие инциденты случаются только с деньгами комьюнити, а не с зарплатами команды?..»

Другой пользователь добавил:

«Просто продайте токены и уходите. Все понятно и без красивых слов.»

ZKsync пообещал провести внутреннее расследование, а также подключил Security Alliance и крупные биржи для блокировки активов злоумышленника.

Индустрия под давлением — атаки учащаются

Инцидент с ZKsync не единичный случай в 2024–2025. Буквально на днях:

• KiloEx потерял $7 млн в результате атаки на оракл
• Phantom Wallet оказался в центре судебного иска из-за уязвимости, позволившей украсть $500 тыс. в мем-коинах

Цепочка инцидентов говорит о системной проблеме с безопасностью распределения токенов, особенно в условиях спешки и ажиотажа вокруг новых аирдропов и мультичейн-сетей.

Читать далее: Следующий крипто-проект Трампа — игра в стиле монополии с элементами Web3