ZkSync erleidet eine schwere Sicherheitsverletzung, was zu einer nicht autorisierten Münzung von 111 Millionen Token führt

Ethereum Layer-2 Protocol ZkSync erlebte am 15. April 2025 eine schwerwiegende Sicherheitsverletzung, was zu einem nicht autorisierten Pinning von 111 Millionen ZK-Token führte

The crypto world was hit with a major security breach on April 15, 2025, as a primary admin key for Ethereum layer-2 protocol ZKsync was compromised, leading to the unauthorized minting of 111 million ZK tokens, valued at approximately $5 million.

Die Krypto-Welt wurde am 15. April 2025 mit einem großen Sicherheitsverstoß als primärer Administratorschlüssel für das Protokoll-2-Protokoll von Ethereum Layer-2 beeinträchtigt, was zu dem nicht autorisierten Münzen von 111 Millionen ZK-Token im Wert von rund 5 Millionen US-Dollar führte.

According to DeFi researcher Harun and blockchain security firm SEAL 911, the exploit involved a privileged function, sweepUnclaimed(), within the airdrop smart contract. This function was designed to collect unclaimed tokens after the airdrop period ended. However, the compromised admin account manipulated it to mint and transfer tokens directly to the attacker’s wallet.

Laut Defi -Forscher Harun und Blockchain -Sicherheitsfirma Seal 911 umfasste der Exploit eine privilegierte Funktion, die im Smart -Vertrag von Airdrop () (Sweepuncured () im Airdrop -Vertrag war. Diese Funktion wurde entwickelt, um nicht beanspruchte Token nach Beendigung der Flugdropfenperiode zu sammeln. Das kompromittierte Administratorkonto manipulierte es jedoch, um Token direkt an die Brieftasche des Angreifers zu machen und zu übertragen.

While the sum represents only about 0.45% of the total ZK token supply, the implications for smart contract governance and user trust are substantial.

Während die Summe nur etwa 0,45% der gesamten ZK -Token -Versorgung entspricht, sind die Auswirkungen auf die Governance von Smart Contract und das Benutzervertrauen erheblich.

The incident triggered immediate alarm among users and investors in the ZKsync ecosystem. As explained by Unchained Capital, the exploit did not stem from a vulnerability in the protocol itself, but rather from the elevated privileges assigned to the admin wallet. This aligns with a broader industry concern—centralized control and the critical need for multi-signature protections in sensitive contract functions.

Der Vorfall löste bei Benutzern und Investoren im ZkKSync -Ökosystem einen sofortigen Alarm aus. Wie von Unchained Capital erläutert, stammte der Exploit nicht auf eine Sicherheitsanfälligkeit im Protokoll selbst, sondern auf die erhöhten Berechtigungen, die der Administrator -Brieftasche zugewiesen wurden. Dies entspricht einem breiteren Anliegen in der Branche-eine konzentrierte Kontrolle und der kritische Bedarf an Multisignaturschutz in sensiblen Vertragsfunktionen.

Announcing the incident, ZKsync stated that the unauthorized minting was confined to the airdrop distribution contract and did not affect user funds, the core ZKsync protocol, or the token contract itself.

ZkkSync kündigte den Vorfall an und erklärte, dass das nicht autorisierte Meilen auf den Airdrop -Verteilungsvertrag beschränkt sei und die Benutzerfonds, das Core ZkSync -Protokoll oder den Token -Vertrag selbst nicht beeinflusst habe.

“The development team is working on implementing corrective measures to prevent similar incidents in the future,” the company added.

„Das Entwicklungsteam arbeitet an der Durchführung von Korrekturmaßnahmen, um in Zukunft ähnliche Vorfälle zu verhindern“, fügte das Unternehmen hinzu.

To support its investigation, ZKsync is collaborating with SEAL 911, a well-known blockchain security response team, and multiple centralized exchanges to trace the attacker’s steps on-chain and potentially recover the stolen funds by freezing or intercepting suspicious activity.

Um seine Untersuchung zu unterstützen, arbeitet ZkSync mit Seal 911 zusammen, einem bekannten Blockchain-Sicherheitsteam und mehreren zentralisierten Börsen, um die Schritte des Angreifers aufzuspüren und die gestohlenen Mittel möglicherweise wiederherzustellen, indem sie verdächtige Aktivitäten einfrieren oder abfangen.

Moreover, ZKsync is offering the attacker an opportunity to return the funds and avoid further legal consequences.

Darüber hinaus bietet Zksync dem Angreifer die Möglichkeit, die Mittel zurückzugeben und weitere rechtliche Konsequenzen zu vermeiden.

Following the incident, the ZK token experienced significant volatility, plummeting nearly 19% before partially recovering. As of the latest trading sessions on Monday morning, the token is valued around $0.047.

Nach dem Vorfall verzeichnete der ZK -Token eine signifikante Volatilität und sank fast 19%, bevor er sich teilweise erholte. Zum Zeitpunkt der letzten Handelssitzungen am Montagmorgen hat das Token einen Wert von rund 0,047 USD.

With more information expected to be released, the token price is likely to continue fluctuating as confidence in the project is gradually restored.

Da weitere Informationen veröffentlicht werden, die erwartet werden, wird der Token -Preis wahrscheinlich weiter schwanken, da das Vertrauen in das Projekt allmählich wiederhergestellt wird.

The breach has also sparked a broader conversation about the role of admin keys, centralized authority in decentralized systems, and the transparency of contract permissions. Community members and developers are calling for stricter governance standards, including open-source audits, decentralized multisig setups, and time-locked function calls.

Der Verstoß hat auch ein breiteres Gespräch über die Rolle von Administratorschlüssel, zentralisierte Behörde in dezentralen Systemen und die Transparenz der Vertragsberechtigungen ausgelöst. Gemeindemitglieder und Entwickler fordern strengere Governance-Standards, darunter Open-Source-Audits, dezentrale Multisig-Setups und zeitsperrte Funktionsaufrufe.

ZKsync has pledged to release a complete post-mortem once its internal investigation is complete. For now, the incident serves as a cautionary tale about the complexities and trade-offs of deploying smart contracts with such elevated administrative privileges.

ZkSync hat sich verpflichtet, nach Abschluss seiner internen Untersuchung einen vollständigen Post-Mortem zu veröffentlichen. Der Vorfall dient vorerst als warnende Geschichte über die Komplexität und Kompromisse beim Einsatz intelligenter Verträge mit solchen erhöhten Verwaltungsberechtigten.