Theo thông tin từ PANews ngày 25 tháng 4, ZKsync đã phát hành báo cáo điều tra về sự cố bảo mật liên quan đến 5 triệu đô la token ZK. Vào ngày 13 tháng 4, kẻ tấn công đã sử dụng khóa quản trị viên bị đánh cắp để đúc 11,18 triệu token ZK chưa được yêu cầu từ ba hợp đồng phân phối airdrop, và trong vòng hai ngày sau đó đã chuyển đổi khoảng 6,71 triệu token thành 1.116 ETH. Sau khi phát hiện ra các hoạt động bất thường vào ngày 15 tháng 4, đội ngũ phát triển Matter Labs đã ngay lập tức đóng băng các tài khoản liên quan. Sau khi ủy ban an ninh ZKsync đưa ra thông báo "cảng an toàn" 72 giờ, kẻ tấn công đã hoàn trả 90% số tiền vào ngày 23 tháng 4 và nhận được 10% tiền thưởng. Số tiền còn lại hiện đang được ủy ban an ninh giữ, và việc xử lý sau này sẽ do cộng đồng quản trị quyết định. Qua điều tra, sự cố này xuất phát từ việc hợp đồng airdrop sử dụng chế độ quản lý đa chữ ký 1/1 không an toàn và vẫn giữ lại chức năng đúc token đáng lẽ phải được loại bỏ.
ZKsync cho biết sự cố này chỉ ảnh hưởng đến ba hợp đồng phân phối airdrop cụ thể, và giao thức mainnet cũng như hệ thống quản trị đều không bị ảnh hưởng. Để ngăn ngừa các sự kiện tương tự, dự án sẽ thực hiện các biện pháp cải thiện như luân chuyển định kì đa chữ ký, nâng cấp hệ thống giám sát, v.v. ETH được thu hồi sẽ được chuyển đổi từng bước thành token ZK, và phương án hoàn trả cuối cùng cần được thông qua bằng cách bỏ phiếu của hội đồng token. Điều tra cho thấy khóa có thể đã bị rò rỉ từ tài khoản của nhân viên cũ, và không tìm thấy bằng chứng về ý định xấu của nhân viên này.
