ZK token doświadczył gwałtownego spadku cen w poniedziałek po tym, jak ZKsync potwierdził naruszenie bezpieczeństwa dotyczące około $5 milionów w nieodebranych tokenach airdropu.
Eksploatacja, przypisywana skompromitowanemu kluczowi administracyjnemu, doprowadziła do szybkiego spadku wartości ZK o 15-20% około 13:50 UTC, z tokenem spadającym o około 11% w momencie publikacji, według CoinMarketCap.
ZKsync, rozwiązanie do skalowania warstwy 2 Ethereum opracowane przez Matter Labs, wyjaśniło, że incydent był ograniczony do kontraktu airdropu i nie miał wpływu na główny protokół ZKsync, kontrakt tokenów ZK ani na środki użytkowników.
Naruszenie dotyczyło konkretnie nieodebranych tokenów pozostałych w puli alokacji airdropu, które zostały skradzione poprzez nieautoryzowany dostęp do uprzywilejowanych poświadczeń admina.
"To jest odosobniony incydent spowodowany skompromitowanym kluczem i ograniczony do kontraktu airdropu tokenu ZK," stwierdził zespół ds. bezpieczeństwa ZKsync w poście na X. Zespół rozpoczął pełne dochodzenie i zobowiązał się do opublikowania szczegółowej analizy post-mortem po zakończeniu wewnętrznej weryfikacji.
Naruszenie na nowo wzbudziło obawy dotyczące praktyk bezpieczeństwa wokół kontraktów dystrybucji tokenów, szczególnie tych dotyczących uprawnień kontrolowanych przez administratora.
W ostatnich latach podobne luki były wykorzystywane w innych głośnych airdropach i platformach DeFi, podkreślając potrzebę mocniejszego zarządzania kluczami i protokołów audytu inteligentnych kontraktów.
Token ZK został uruchomiony w czerwcu 2024 roku jako część długo oczekiwanego i szeroko komentowanego airdropu, mającego na celu nagrodzenie wczesnych użytkowników i współtwórców w ekosystemie ZKsync.
Chociaż uruchomienie oznaczało ważny kamień milowy dla Matter Labs, nie obyło się bez kontrowersji. Proces dystrybucji wzbudził krytykę ze strony członków społeczności za postrzegany brak odporności na Sybil i rzekomo niesprawiedliwe mechanizmy alokacji.
ZKsync posiada całkowitą podaż tokenów wynoszącą 21 miliardów ZK, z częścią przeznaczoną na rozwój ekosystemu, nagrody dla społeczności i zarządzanie protokołem. Pomimo tej eksploatacji, ZKsync podkreślił, że żadne dodatkowe tokeny nie są narażone, a podstawowa infrastruktura inteligentnych kontraktów tokenu ZK pozostaje nienaruszona.
W miarę jak dochodzenie trwa, incydent stanowi ostrzegawczy przypomnienie o nieustannych zagrożeniach związanych z airdropami tokenów i kluczowego znaczenia solidnego bezpieczeństwa operacyjnego w zdecentralizowanych ekosystemach.