4月16日,以太坊Layer2扩容方案ZKSync官方宣布,其管理员账户因私钥泄露导致价值约500万美元的ZK代币被盗。此次事件涉及未认领的空投代币,攻击者通过访问管理员账户控制的空投合约完成转账,但ZKSync协议本身及用户资金均未受到影响。目前,团队已采取安全措施,并表示将尽快公布详细调查结果。
根据ZKSync官方声明,此次事件是“孤立的私钥泄露个案”,仅影响ZK Token空投合约,核心协议与代币智能合约的安全性未受到威胁。团队强调,用户在ZKSync网络中的资金、交易及日常使用均正常运行。被盗代币为此前空投活动中未被用户申领的部分,因此攻击者并未直接触及用户个人资产。
值得留意的是,ZKSync团队在多个渠道(包括新浪财经、腾赚网等平台)同步更新进展,试图消除市场担忧。不过,部分加密社区成员仍对私钥管理漏洞表示担忧,认为这暴露了中心化管理环节的风险。
目前,ZKSync安全团队正与区块链分析公司合作追踪资金流向,同时审查内部密钥管理流程。官方承诺将加强多签机制和审计程序,防止类似事件再次发生。加密货币分析师指出,尽管此次事件损失相对可控,但对ZKSync品牌信任度可能产生短期影响,需警惕市场波动。
行业观察人士则指出,空投合约常因用户申领率低而成为攻击目标,此次事件或促使更多项目方重新评估代币分发机制的安全性。例如,部分平台已开始探索自动销毁未认领代币或采用去中心化托管方案。
对于持有ZK代币的用户,官方建议:
- 无需立即行动:用户资产未受影响,无需转移或提现。
- 关注官方渠道:后续更新将通过ZKSync官网及社交媒体发布,警惕钓鱼信息。
- 检查钱包余额:若此前参与空投但未申领代币,建议尽快通过官方工具完成申领,减少潜在风险。
专家提醒:此次事件再次凸显了区块链项目在密钥管理和空投治理上的挑战。普通用户可借此机会审视自身资产安全策略,例如分散存储、启用多重认证,并优先选择透明度高的项目进行投资。
(本文数据综合自ZKSync官方公告及行业媒体报道,截至2025年4月18日)
此次事件是因三个空投分发合约的管理员账户密钥泄露导致。攻击者利用被盗的密钥调用了合约中的`sweepUnclaimed()`函数,从而从空投合约中铸造并盗取约1.11亿枚未申领的ZK代币(价值约500万美元)。官方强调,项目核心代码及代币合约本身未被攻破,漏洞仅源于私钥管理疏漏。
ZKsync官方确认,协议本身及用户资金未受影响,攻击仅限于空投分发合约。被盗代币为未认领的空投部分,已申领的用户代币安全。团队已采取紧急措施防止进一步损失,并表示事件属“孤立个案”,项目运行稳定。但大规模代币被盗可能引发市场信心波动,需关注后续补救措施。
关键在于强化密钥管理:
- 多签机制:采用多重签名钱包管理关键合约,需多人/设备共同授权操作。
- 定期审计:对密钥存储、权限分配进行第三方安全审计。
- 最小权限原则:限制管理员账户权限,避免单点故障。
- 监控与应急:实时监控合约调用异常,建立快速响应机制。
ZKsync后续可能升级安全措施,例如迁移空投合约至无需信任的模型,减少人为密钥风险。
相关攻略
近期热点
最新攻略
