Tiếng Việt
English
Lỗ hổng từ tài khoản admin
Theo thông tin từ tài khoản X chính thức của ZKsync, hacker đã truy cập thành công vào một tài khoản admin có quyền điều khiển ba hợp đồng airdrop. Nhờ quyền truy cập này, kẻ tấn công đã kích hoạt hàm sweepUnclaimed() – một chức năng dùng để xử lý các token chưa được nhận, để tự ý mint 111 triệu token ZK, nâng tổng cung lên thêm 0,45%.
ZKsync nhấn mạnh rằng đây là một sự cố cô lập, không ảnh hưởng đến ví người dùng, và các hợp đồng token cũng như hệ thống quản trị chính vẫn an toàn. Tuy nhiên, đa số số token bị chiếm đoạt vẫn đang nằm trong tay hacker, chưa thể thu hồi ngay lập tức.
Update: the investigation has revealed that the account that was the admin of the three airdrop distribution contracts had been compromised. The compromised account address is 0x842822c797049269A3c29464221995C56da5587D.
— ZKsync (∎, ∆) (@zksync) April 15, 2025
The attacker called the sweepUnclaimed() function that…
ZKsync phối hợp SEAL để điều tra và khắc phục
Ngay sau vụ tấn công, ZKsync đã kích hoạt quy trình khẩn cấp, đồng thời phối hợp với Security Alliance (SEAL) – một tổ chức chuyên xử lý các sự cố an ninh mạng trong lĩnh vực Web3, nhằm truy vết giao dịch và khôi phục tài sản. Ngoài ra, dự án cũng đã vô hiệu hóa khả năng khai thác qua sweepUnclaimed() để đảm bảo không có sự cố tương tự xảy ra.
Đội ngũ ZKsync cho biết các hợp đồng thông minh khác trong hệ thống không bị ảnh hưởng và họ sẽ tiếp tục quá trình airdrop như kế hoạch ban đầu, nhằm đảm bảo cam kết với cộng đồng người dùng.
Không ngoài dự đoán, ngay sau khi thông tin vụ tấn công được công bố, giá token ZK đã giảm mạnh. Trong vòng chưa đầy 24 giờ, giá ZK có lúc rơi xuống mức 0,040 USD – giảm 16% – trước khi hồi phục nhẹ lên 0,047 USD.
ZKsync hiện là một trong những dự án Layer-2 nổi bật trên Ethereum, sử dụng công nghệ zero-knowledge rollups để tăng tốc và giảm phí giao dịch. Trước khi sự cố xảy ra, ZKsync đã bắt đầu phân phối 17,5% tổng cung token ZK thông qua airdrop cho người dùng và các dự án trong hệ sinh thái.
Tuy nhiên, việc một tài khoản quản trị bị tấn công ngay trong thời điểm quan trọng như vậy đã làm dấy lên câu hỏi lớn về mức độ an toàn và quy trình kiểm soát nội bộ của dự án. Nhiều người dùng trên mạng xã hội X cho rằng ZKsync cần minh bạch hơn trong cách quản lý các hợp đồng quan trọng, đặc biệt là những hợp đồng liên quan đến quyền phân phối token.
Đọc thêm:
