Le jeton ZK a connu une forte baisse de prix lundi après que ZKsync ait confirmé une violation de sécurité impliquant environ 5 millions de dollars en tokens airdrop non réclamés.
L'exploitation, attribuée à une clé administrative compromise, a entraîné une baisse rapide de 15 à 20 % de la valeur de ZK vers 13h50 UTC, avec le jeton en baisse d'environ 11 % au moment de la presse, selon CoinMarketCap.
ZKsync, la solution de mise à l'échelle de couche 2 d'Ethereum développée par Matter Labs, a clarifié que l'incident était isolé au contrat d'airdrop et n'a pas affecté le protocole ZKsync principal, le contrat du jeton ZK ou les fonds des utilisateurs.
La violation a ciblé spécifiquement les tokens non réclamés restant dans le pool d'allocation d'airdrop, qui ont été vidés via un accès non autorisé aux informations d'identification d'admin privilégié.
"Il s'agit d'un incident isolé causé par une clé compromise et confiné au contrat d'airdrop du jeton ZK," a déclaré l'équipe de sécurité de ZKsync dans un post sur X. L'équipe a lancé une enquête à grande échelle et s'est engagée à publier un rapport détaillé une fois leur examen interne terminé.
La violation a ravivé les préoccupations sur les pratiques de sécurité entourant les contrats de distribution de jetons, en particulier ceux impliquant des privilèges contrôlés par un admin.
Ces dernières années, des vulnérabilités similaires ont été exploitées dans d'autres airdrops et plateformes DeFi de grande envergure, soulignant le besoin de protocoles de gestion des clés et d'audit de contrats intelligents plus solides.
Le jeton ZK a été lancé en juin 2024 dans le cadre d'un airdrop très attendu et médiatisé, destiné à récompenser les premiers utilisateurs et contributeurs de l'écosystème ZKsync.
Bien que le lancement ait marqué une étape majeure pour Matter Labs, il n'était pas sans controverse. Le processus de distribution a été critiqué par les membres de la communauté pour son manque perçu de résistance Sybil et ses mécanismes d'allocation présumés injustes.
ZKsync dispose d'un approvisionnement total de 21 milliards de jetons ZK, dont une partie mise de côté pour le développement de l'écosystème, les récompenses communautaires et la gouvernance du protocole. Malgré cette exploitation, ZKsync a souligné qu'aucun jeton supplémentaire n'est en danger et que l'infrastructure sous-jacente du contrat intelligent du jeton ZK reste intacte.
Alors que l'enquête se poursuit, l'incident sert de rappel des risques persistants impliqués dans les airdrops de jetons et de l'importance cruciale d'une sécurité opérationnelle robuste dans les écosystèmes décentralisés.