피에이뉴스(PANews) 4월 25일 소식에 따르면, ZKsync는 500만 달러 규모의 ZK 토큰과 관련된 보안 사건 조사 보고서를 발표했습니다. 4월 13일, 공격자는 도난된 관리자 키를 이용해 세 개의 에어드랍 분배 계약에서 1,118만 개의 미청구 ZK 토큰을 민트했으며, 이후 이틀 동안 약 671만 개를 1,116개의 이더리움(ETH)으로 교환했습니다. 개발팀 Matter Labs는 4월 15일 비정상적인 활동을 발견한 즉시 관련 계정을 동결했습니다. ZKsync 보안 위원회의 72시간 "안전 항구" 최후 통첩 후, 공격자는 4월 23일 자금의 90%를 반환하고 10%의 포상금을 받았습니다. 나머지 자금은 현재 보안 위원회가 보관 중이며, 향후 처리는 커뮤니티 거버넌스에 맡길 예정입니다. 조사 결과, 이번 사건은 에어드랍 계약이 안전하지 않은 1/1 다중 서명 관리 모드를 사용했고, 제거되어야 할 토큰 민트 기능을 유지했기 때문에 발생했습니다.
ZKsync는 이 사건이 세 개의 특정 에어드랍 분배 계약에만 영향을 미쳤으며, 메인넷 프로토콜과 거버넌스 시스템은 손상되지 않았다고 밝혔습니다. 유사한 사건을 방지하기 위해 프로젝트 측은 다중 서명 정기 교체, 모니터링 시스템 업그레이드 등의 개선 조치를 실시할 예정입니다. 회수된 이더리움(ETH)은 점진적으로 ZK 토큰으로 교환될 것이며, 최종 반환 방안은 토큰 의회의 투표를 거쳐 결정됩니다. 조사 결과 키가 전 직원 계정에서 유출된 것으로 추정되지만, 해당 전 직원의 악의적 의도는 발견되지 않았습니다.
