Ein Sicherheitsvorfall beim Ethereum Layer-2-Protokoll ZKsync führte zum Diebstahl von Airdrop-Token im Wert von 5 Millionen US-Dollar durch ein kompromittiertes Administratorkonto. ZKsync bestätigte den Vorfall, der auf die Airdrop-Verträge beschränkt war, und leitete Untersuchungen ein, während der Angreifer aufgefordert wurde, die gestohlenen Gelder zurückzugeben. Der Vorfall löste einen Ausverkauf des ZK-Tokens aus und führte zu Kritik in der Community.
Ein Sicherheitsvorfall beim Ethereum Layer-2-Protokoll ZKsync hat dazu geführt, dass Airdrop-Token im Wert von rund 5 Millionen US-Dollar entwendet wurden, wie Cryptopolitan berichtet. Der Vorfall, ausgelöst durch ein kompromittiertes Administratorkonto, wirft Fragen zur Sicherheit von Token-Verteilungen im schnell wachsenden zk-Rollup-Sektor auf.
Die gestohlenen Token stammten aus den "verbleibenden nicht beanspruchten Token des ZKsync-Airdrops", wie das Projekt auf X (ehemals Twitter) erklärte. ZKsync versicherte, dass die notwendigen Sicherheitsmaßnahmen ergriffen würden. Laut ZKsync war der Vorfall isoliert, verursacht durch einen kompromittierten Schlüssel und auf den ZK-Token-Airdrop-Vertrag beschränkt. Obwohl der Angriff nur die Airdrop-Reserve betraf, löste er einen Ausverkauf aus, der zu einem starken Preisverfall des Tokens führte. Der ZK-Token verlor seit Bekanntwerden des Vorfalls 15% an Wert.
ZKsync leitete nach dem Angriff interne Untersuchungen ein. In einem Update erklärte ZKsync, dass das Administratorkonto, welches drei Airdrop-Verträge verwaltet, kompromittiert wurde. Die betroffene Wallet-Adresse wurde identifiziert. Der Angreifer nutzte die Funktion sweepUnclaimed(), um etwa 111 Millionen nicht beanspruchte ZK-Token aus den Airdrop-Verträgen zu prägen.
Der Vorfall beschränkte sich ausschließlich auf die Airdrop-Verträge, und alle durch die kompromittierte Methode prägbaren Token wurden bereits geprägt. ZKsync bestätigte, dass keine weiteren Exploits dieser Art möglich sind. Das Unternehmen betonte, dass das ZKsync-Protokoll, der ZK-Token-Vertrag, alle drei Governance-Verträge und alle aktiven Token-Programm-Minter nicht betroffen waren und auch nicht betroffen sein werden. Laut ZKsync befindet sich der Großteil der Gelder weiterhin im Besitz des Angreifers. Dieser wurde aufgefordert, sich unter security@zksync.io zu melden, um die mögliche Rückgabe der gestohlenen Gelder zu besprechen und rechtliche Konsequenzen zu vermeiden.
Der Vorfall sorgte für Empörung in der Community, insbesondere bei denjenigen, die einen Teil des ZKsync-Airdrops erwartet hatten. Dieser Airdrop war ein wichtiger Meilenstein für das zk-Rollup-Projekt, das darauf abzielt, Ethereum mit kostengünstigen und schnellen Transaktionen zu skalieren. Auf X äußerten Nutzer ihren Unmut und warfen ZKsync Missmanagement vor. Einige Nutzer stellten die Darstellung des Unternehmens in Frage und vermuteten, dass ZKsync die Token selbst verkauft und versucht habe, den Vorfall zu vertuschen.
Das ZKsync-Team bat die Betroffenen um Geduld, während sie die Wiederherstellungsbemühungen mit der Security Alliance und den Börsen koordinieren. Gleichzeitig bereitet sich die taiwanesische Finanzaufsichtskommission auf Versuche zur Verwahrung virtueller Vermögenswerte im Jahr 2025 vor, wie Cryptopolitan berichtet.
Quellen:
