ZKsync 發生了什麼事？黑客攻擊和虛假的空投承諾讓社群感到失望

以太坊第二層協議 ZKsync 最近經歷了一次重大漏洞，這一事件動搖了去中心化金融（DeFi）領域的信任。一個被入侵的管理帳戶導致超過 1.11 億個 ZK 代幣被未經授權地鑄造，這些代幣原本是未被認領的空投儲備的一部分。

此漏洞不僅影響了代幣的價格，也讓許多社區成員感到沮喪和被誤導。

ZKsync 空投漏洞：它是如何發生的

鏈上調查員最初注意到與空投合約相關的可疑活動。後來確認有一個管理員帳戶負責監督三個獨立的ZKsync空投合約已被入侵。攻擊者使用了一個名為 sweepUnclaimed() 的函數來鑄造約 1.11 億 個未索取的 ZK 代幣。

這個功能最初是為了處理未認領的代幣而設計的。然而，一旦管理員密鑰被入侵，它便成為了一個強大的利用工具。

閱讀更多：ZKsync 和 Chainlink 聯手合作：跨鏈轉移變得簡單

< translation > ZKsync 對駭客攻擊的回應 < /translation >

在此次漏洞事件之後，ZKsync透過其官方X（前身為Twitter）帳戶確認了此次洩露，表示此次黑客攻擊僅限於空投分發合約。該公司向用戶保證，ZKsync 協議、治理合約及所有其他代幣合約基礎設施仍然安全。

“透過這種方法不再可能有進一步的利用，”團隊表示，強調所有可以通過該漏洞鑄造的代幣已經生成。然而，損害已經造成：隨著駭客消息的傳播，ZK 代幣的價值下降了超過 15%。

社區反應：憤怒與不信任

ZKsync 社區沒有保留。那些迫切等待空投分配的用戶指責團隊管理不善和缺乏透明度。許多人質疑在這種規模的項目中，為什麼如此關鍵的訪問點和管理密鑰會遭到破壞。

有一位 X 用戶評論道，“你無法給社群的那些相同的代幣… 不過這是一個好的退出方式。”另一個質疑了團隊的誠信：“為什麼這種情況從來不會發生在團隊薪資上，只有社區代幣上？”

這些批評突顯了對空投分配、安全協議及去中心化生態系統中集中控制的更廣泛擔憂。

也請閱讀：ZKsync的彈性鏈是什麼？您已接受訓練，數據截至2023年10月。

努力重建

ZKsync 現在正與安全公司 Seal 911 和主要交易所協調，以恢復被盜的代幣。攻擊者仍持有一大部分鑄造的ZK 令牌，已被敦促透過 security@zksync.io 聯繫團隊，以期談判資金的歸還，並避免法律後果。

儘管大多數被盜取的代幣仍然存在於攻擊者的錢包中，ZKsync正在積極監控資金流動，並已採取措施以防止進一步的損害。

從 ZKsync 漏洞中的教訓

這一事件突顯了區塊鏈生態系統中仍然存在的漏洞，特別是涉及空投和代幣分配機制的情況。即使在像 ZKsync 這樣的高度技術層級 2 解決方案中，單個被攻擊的帳戶也能導致毀滅性的後果。

此外，這次漏洞突顯了去中心化金融（DeFi）領域日益增長的懷疑態度。當集中式的密鑰控制著大量的代幣儲備時，去中心化和安全性的承諾顯得微不足道。

向前邁進

儘管遭到駭客攻擊，ZKsync 仍然堅稱該協議本身是安全且完全可運作的。但信任一旦失去，就很難恢復。團隊需要的不僅僅是推文和危機處理來贏回社群的支持。

ZKsync的未來現在不僅取決於它的技術，還取決於它的透明度、安全性改進，以及它如何處理此次空投災難的後果。

常見問題解答

最近的ZKsync黑客攻擊是由什麼原因造成的？

最近的ZKsync黑客事件是由於一個被入侵的管理員帳戶控制了三個空投分發合約。攻擊者使用了一個名為sweepUnclaimed()的功能，從空投池中鑄造了約1.11億個未聲明的ZK代幣，造成了重大的漏洞。

ZKsync協議本身是否受到該漏洞的影響？

不，核心的 ZKsync 協議、代幣合約和治理基礎設施並未受到此次漏洞的影響。此次黑客攻擊僅限於空投分發合約，ZKsync 已向用戶保證不會再發生未經授權的鑄幣。

ZKsync是如何處理空投漏洞後果的？

ZKsync已經啟動內部調查，並與安全公司如Seal 911及主要交易所合作，以收回被盜的ZK代幣。攻擊者已被要求歸還資金，以避免法律行動。該團隊還在檢討安全措施，以防止類似事件的發生。