PANews는 4월 25일 ZKsync가 500만 달러 상당의 ZK 토큰과 관련된 이전 보안 사고에 대한 조사 보고서를 발표했다고 보도했습니다. 4월 13일, 공격자는 도난당한 관리자 키를 사용해 3개의 에어드랍 배포 계약에서 청구되지 않은 ZK 토큰 1,118만 개를 생성하고, 그 중 약 671만 개를 이틀 동안 1,116 ETH로 교환했습니다. 개발팀인 Matter Labs는 4월 15일 이상 징후를 발견하자마자 관련 계정을 즉시 동결했습니다. ZKsync 보안 위원회가 72시간 내 "안전항구" 최후통첩을 내린 후, 공격자는 4월 23일 자금의 90%를 반환하고 10%의 현상금을 받았습니다. 나머지 자금은 현재 보안 위원회가 보유하고 있으며, 이후의 처분은 지역 사회 거버넌스에서 결정하게 됩니다. 조사 결과, 해당 사고는 에어드랍 계약이 안전하지 않은 1/1 다중 서명 관리 모델을 채택하고, 제거되어야 할 토큰 채굴 기능을 그대로 유지한 데에서 발생한 것으로 밝혀졌습니다.
ZKsync는 이 사고가 특정 에어드랍 배포 계약 3개에만 영향을 미쳤으며, 메인넷 프로토콜과 거버넌스 시스템에는 피해가 없었다고 밝혔습니다. 유사한 사고가 발생하지 않도록 프로젝트 팀은 여러 서명을 정기적으로 교체하고 모니터링 시스템을 업그레이드하는 등의 개선 조치를 시행할 예정입니다. 회수된 ETH는 점차적으로 ZK 토큰으로 전환되며, 최종 반환 계획은 토큰 의회에서 투표를 거쳐 승인을 받아야 합니다. 조사 결과, 해당 키는 전직 직원의 계정에서 유출되었을 가능성이 있으며, 전직 직원이 악의적인 의도를 가지고 있었다는 증거는 발견되지 않았습니다.
