Zksync subit une violation de sécurité majeure, entraînant la menthe non autorisée de 111 millions de jetons

Le protocole d'Ethereum Layer-2 Zksync a connu une violation de sécurité majeure le 15 avril 2025, entraînant la frappe non autorisée de 111 millions de jetons ZK

The crypto world was hit with a major security breach on April 15, 2025, as a primary admin key for Ethereum layer-2 protocol ZKsync was compromised, leading to the unauthorized minting of 111 million ZK tokens, valued at approximately $5 million.

Le Crypto World a été frappé par une violation de sécurité majeure le 15 avril 2025, en tant que clé d'administration principale du protocole de couche 2 Ethereum, Zksync a été compromis, conduisant à la frappe non autorisée de 111 millions de jetons ZK, d'une valeur d'environ 5 millions de dollars.

According to DeFi researcher Harun and blockchain security firm SEAL 911, the exploit involved a privileged function, sweepUnclaimed(), within the airdrop smart contract. This function was designed to collect unclaimed tokens after the airdrop period ended. However, the compromised admin account manipulated it to mint and transfer tokens directly to the attacker’s wallet.

Selon le chercheur de DeFI Harun et la société de sécurité blockchain Seal 911, l'exploit a impliqué une fonction privilégiée, Sweepinclamed (), dans le contrat intelligent Airdrop. Cette fonction a été conçue pour collecter des jetons non réclamés après la fin de la période aérienne. Cependant, le compte d'administration compromis l'a manipulé à la menthe et à transférer des jetons directement au portefeuille de l'attaquant.

While the sum represents only about 0.45% of the total ZK token supply, the implications for smart contract governance and user trust are substantial.

Bien que la somme ne représente que environ 0,45% de l'offre totale de jetons ZK, les implications pour la gouvernance des contrats intelligentes et la fiducie des utilisateurs sont substantielles.

The incident triggered immediate alarm among users and investors in the ZKsync ecosystem. As explained by Unchained Capital, the exploit did not stem from a vulnerability in the protocol itself, but rather from the elevated privileges assigned to the admin wallet. This aligns with a broader industry concern—centralized control and the critical need for multi-signature protections in sensitive contract functions.

L'incident a déclenché une alarme immédiate parmi les utilisateurs et les investisseurs de l'écosystème Zksync. Comme l'explique le capital Unchained, l'exploit ne provient pas d'une vulnérabilité dans le protocole lui-même, mais plutôt des privilèges élevés attribués au portefeuille d'administration. Cela s'aligne sur une préoccupation plus large de l'industrie - le contrôle centré et le besoin critique de protections multi-signatures dans les fonctions contractuelles sensibles.

Announcing the incident, ZKsync stated that the unauthorized minting was confined to the airdrop distribution contract and did not affect user funds, the core ZKsync protocol, or the token contract itself.

Annonçant l'incident, Zksync a déclaré que la frappe non autorisée était limitée au contrat de distribution Airdrop et n'a pas affecté les fonds d'utilisateurs, le protocole de base de Zksync ou le contrat de jeton lui-même.

“The development team is working on implementing corrective measures to prevent similar incidents in the future,” the company added.

"L'équipe de développement travaille à la mise en œuvre de mesures correctives pour prévenir les incidents similaires à l'avenir", a ajouté la société.

To support its investigation, ZKsync is collaborating with SEAL 911, a well-known blockchain security response team, and multiple centralized exchanges to trace the attacker’s steps on-chain and potentially recover the stolen funds by freezing or intercepting suspicious activity.

Pour soutenir son enquête, Zksync collabore avec SEAL 911, une équipe bien connue de réponse à la sécurité de la blockchain et plusieurs échanges centralisés pour retracer les étapes de l'attaquant sur la chaîne et potentiellement récupérer les fonds volés en congelant ou en interceptant une activité suspecte.

Moreover, ZKsync is offering the attacker an opportunity to return the funds and avoid further legal consequences.

De plus, Zksync offre à l'attaquant la possibilité de retourner les fonds et d'éviter de nouvelles conséquences juridiques.

Following the incident, the ZK token experienced significant volatility, plummeting nearly 19% before partially recovering. As of the latest trading sessions on Monday morning, the token is valued around $0.047.

Après l'incident, le jeton ZK a connu une volatilité significative, en chute de près de 19% avant la récupération partiellement. Dès les dernières sessions de négociation lundi matin, le jeton est évalué à environ 0,047 $.

With more information expected to be released, the token price is likely to continue fluctuating as confidence in the project is gradually restored.

Avec plus d'informations qui devraient être publiées, le prix du jeton devrait continuer à fluctuer car la confiance dans le projet est progressivement restaurée.

The breach has also sparked a broader conversation about the role of admin keys, centralized authority in decentralized systems, and the transparency of contract permissions. Community members and developers are calling for stricter governance standards, including open-source audits, decentralized multisig setups, and time-locked function calls.

La violation a également déclenché une conversation plus large sur le rôle des clés d'administration, l'autorité centralisée dans les systèmes décentralisés et la transparence des autorisations contractuelles. Les membres de la communauté et les développeurs appellent à des normes de gouvernance plus strictes, y compris des audits open source, des configurations multisig décentralisées et des appels de fonction bloqués dans le temps.

ZKsync has pledged to release a complete post-mortem once its internal investigation is complete. For now, the incident serves as a cautionary tale about the complexities and trade-offs of deploying smart contracts with such elevated administrative privileges.

Zksync s'est engagé à publier un post mortem complet une fois son enquête interne terminée. Pour l'instant, l'incident sert de récit édifiant sur les complexités et les compromis du déploiement de contrats intelligents avec des privilèges administratifs aussi élevés.