Команда безопасности ZKsync сообщила о громком инциденте, связанном с компрометацией административной учетной записи, в результате чего были перехвачены токены ZK на сумму около $5 млн. Эти токены представляли собой невостребованные остатки после аирдропа.
После известия о нарушении курс ZK резко упал на 17%, хотя позже частично восстановился. Представители проекта заверили, что средства пользователей в безопасности и протоколы остаются защищенными. Исследователи выяснили, что скомпрометированный аккаунт контролировал три контракта для распределения аирдропа. Злоумышленник вызвал функцию sweepUnclaimed(), выпустив около 111 млн невостребованных токенов, увеличив обращение на ~0,45%. Однако повторное использование уязвимости исключено.
Пока злоумышленник удерживает большую часть средств на этом адресе, проект сотрудничает с экспертами из Security Alliance и призывает его выйти на связь для возврата украденных активов без правовых последствий.
Несмотря на негативные события, ZKsync с 2021 года привлек инвестиции в объеме $450 млн, а в сентябре 2024 года CEO компании Matter Labs, Алекс Глуховски, объявил о сокращении штата на 16%. Источник проблемы может быть в снижении ключевых показателей после недавнего аирдропа 3,6 миллиона токенов ZK в июне.