ZKsync：泄露密钥未控制其他合约且影响有限，事件解决前交易过滤将一直有效

ZKsync发布关于上周安全事件的调查进展、缓解措施及后续行动更新：调查显示，事件由泄露的空投管理员密钥引发，仅影响2024年6月ZK代币发行中的三个特定Merkle分配合约。因各分配合约总供应量已铸完，无法再铸造额外ZK代币，也无法通过此方法进一步利用。泄露密钥未控制其他合约，认领窗口过期后仅可铸造未认领空投代币。ZKsync协议、ZK代币合约、治理合约、时间锁及活跃代币计划上限铸造者均未受影响，未来也不会。 约70%被利用资产仍在ZKsync Era，含约4500万枚ZK和1021枚ETH。作为Era链当前唯一排序器，Matter Labs对受影响账户实施交易过滤。虽Matter Labs通常无法应对每个智能合约潜在事件，但经与ZKsync协会协商，因未经授权铸造ZK代币涉及协议治理，故采取此特殊措施。目前ZKsync正升级至第1阶段并推进去中心化排序，Era仍作为第0阶段rollup运行，使该措施可行。需指出，ZKsync治理机构和安全委员会可随时更换排序器并移除过滤器。交易过滤将持续至事件解决。调查仍在进行，正积极追回资金。事件完全解决后，将发布详细报告。 此前消息，ZKsync表示，攻击者从三份空投合约中非法铸造约1.11亿枚ZK代币，占总供应量约0.45%。