PANews 4月25日消息,ZKsync發佈此前涉及500萬美元ZK代幣的安全事件調查報告。4月13日,攻擊者利用被盜的管理員密鑰,從三個空投分發合約中鑄造了1118萬枚未申領的ZK代幣,並在隨後兩天內將其中約671萬枚兌換成1116枚ETH。開發團隊Matter Labs在4月15日發現異常後立即凍結了相關賬戶。在ZKsync安全委員會發出72小時"安全港"通牒後,攻擊者於4月23日歸還了90%資金並獲得10%賞金。剩餘資金目前由安全委員會保管,後續處置將交由社區治理決定。經調查,此次事件源於空投合約採用了不安全的1/1多籤管理模式,且保留了本應移除的代幣鑄造功能。
ZKsync表示,該事件僅影響三個特定的空投分發合約,主網協議和治理系統均未受損。為防範類似事件,項目方將實施多簽定期輪換、升級監控系統等改進措施。追回的ETH將逐步兌換為ZK代幣,最終歸還方案需經代幣議會投票通過。調查顯示密鑰可能由前員工賬戶洩露,未發現該前員工存在惡意意圖的證據。
