Vào ngày 25 tháng 4, ZKsync đã công bố báo cáo điều tra về một sự cố an ninh liên quan đến 5 triệu USD trong Token ZK. Vào ngày 13 tháng 4, kẻ tấn công đã sử dụng chìa khóa quản trị bị đánh cắp để “mint” 11,18 triệu Token ZK chưa được nhận từ ba hợp đồng airdrop, sau đó đổi khoảng 6,71 triệu trong số chúng lấy 1.116 ETH trong hai ngày tiếp theo. Nhóm phát triển Matter Labs ngay lập tức đóng băng các tài khoản liên quan sau khi phát hiện sự bất thường vào ngày 15 tháng 4. Sau đó, Ủy ban An ninh ZKsync đã đưa ra tối hậu thư “vùng an toàn” kéo dài 72 giờ, và kẻ tấn công đã trả lại 90% số tiền vào ngày 23 tháng 4, nhận một khoản thưởng 10%.
Ủy ban An ninh đang quản lý số tiền còn lại và việc xử lý sẽ được quyết định thông qua quản trị cộng đồng. Điều tra cho thấy vấn đề xuất phát từ việc hợp đồng airdrop áp dụng mô hình quản lý đa chữ ký 1/1 không an toàn và giữ lại chức năng “mint” Token cần được gỡ bỏ. ZKsync cho biết sự cố chỉ ảnh hưởng đến ba hợp đồng airdrop cụ thể, còn giao thức mạng chính và hệ thống quản trị không bị tổn hại.
Để ngăn chặn các sự cố tương tự, dự án sẽ thực hiện các biện pháp cải tiến như xoay vòng chữ ký đa thường xuyên và nâng cấp hệ thống giám sát. Số ETH thu hồi được sẽ dần được đổi sang Token ZK, và kế hoạch trả lại cuối cùng sẽ phải được Token parliament bỏ phiếu thông qua. Cuộc điều tra cũng chỉ ra rằng chìa khóa có thể bị rò rỉ từ tài khoản của một nhân viên cũ, không tìm thấy bằng chứng cho thấy có ý định xấu.
