Découvrez comment une faille de sécurité sur ZKsync a entraîné le vol de 5 millions de dollars en jetons. Cet article examine la compromission du compte administrateur et les faiblesses des smart contracts, et détaille les nouvelles mesures de sécurité adoptées pour limiter les risques futurs et rétablir la confiance des utilisateurs. Destiné aux dirigeants d’entreprise et aux experts en sécurité, il apporte des clés pour gérer efficacement les incidents et renforcer les stratégies de gestion des risques.
Compromission du compte administrateur : vol de 5 M$ de jetons ZK
À la suite d’une faille majeure, l’équipe de sécurité de ZKsync a confirmé qu’un compte administratif avait été compromis, entraînant le vol d’environ 5 millions de dollars en jetons ZK. L’attaquant a exploité cet accès frauduleux pour actionner la fonction « sweepUnclaimed() », lui permettant d’émettre près de 111 millions de jetons ZK non réclamés depuis les contrats d’airdrop de la plateforme.
Les analyses blockchain révèlent la distribution suivante des fonds volés :
| Plateforme |
Montant |
Pourcentage |
| ZKsync Chain |
3,7 M$ (ZK + ETH) |
67 % |
| Ethereum Mainnet |
1,76 M$ (ETH) |
33 % |
| Total |
5,5 M$ |
100 % |
Malgré l’ampleur du vol, ZKsync garantit que les fonds personnels des utilisateurs restent en sécurité, l’exploit ayant été limité au contrat d’airdrop du jeton ZK. L’annonce a provoqué une réaction immédiate sur le marché, le cours du jeton ZK chutant de 20 % et près de 1,7 million de jetons ayant été transférés vers Ethereum.
Cette brèche souligne la vulnérabilité persistante des accès administratifs dans les infrastructures blockchain. Elle démontre que des attaques ciblant des comptes privilégiés peuvent entraîner des pertes d’actifs significatives, même lorsque les portefeuilles utilisateurs restent protégés. ZKsync, dont la capitalisation boursière s’élève à 439,6 millions de dollars pour 7,23 milliards de jetons ZK en circulation, a absorbé ce choc sécuritaire alors que les équipes s’efforcent de corriger la faille.
Faille du smart contract ZKsync exploitée : émission de 111 millions de jetons non réclamés
En avril 2025, ZKsync a subi l’une des plus graves attaques de son histoire : un pirate a exploité une vulnérabilité dans le contrat de distribution d’airdrop. L’attaquant a obtenu un accès illégal à un compte administrateur et a déclenché la fonction sweepUnclaimed(), générant près de 111 millions de jetons ZK non réclamés, soit environ 0,45 % de l’offre totale. Au moment de l’attaque, ces jetons valaient près de 5,7 millions de dollars.
La faille a eu des répercussions immédiates : le prix du jeton ZK a atteint un plus bas historique de 0,039 $ le 15 avril, alors que les investisseurs réagissaient à l’annonce.
| Aspect |
Détails |
| Jetons émis |
111 millions ZK |
| Valeur au moment de l’attaque |
5,7 millions $ |
| Part de l’offre totale |
0,45 % |
| Impact sur le cours |
Plus bas historique à 0,039 $ |
Malgré la gravité de l’incident, la situation s’est rapidement dénouée : le pirate a accepté de restituer près de 5,7 millions de dollars de jetons volés, en échange d’une prime de 10 %. Cette affaire met en évidence les défis permanents en matière de sécurité pour les projets blockchain, même ceux axés sur la sécurité et la scalabilité comme ZKsync. La vulnérabilité rappelle la nécessité cruciale d’audits rigoureux des smart contracts et de contrôles d’accès robustes pour les fonctions administratives des protocoles blockchain.
Mesures de sécurité : prévention des attaques et restauration de la confiance utilisateur
ZK Security a mis en œuvre des principes de zero-trust avancés afin d’empêcher toute nouvelle faille et de rétablir la confiance des utilisateurs. Cette politique impose une vérification stricte de l’identité de chaque utilisateur et appareil accédant aux ressources, quel que soit leur emplacement par rapport au réseau. La plateforme exige désormais une authentification et une surveillance continues de toutes les activités réseau, permettant une détection et une réaction immédiates aux menaces.
Le dispositif de sécurité s’appuie sur le principe du moindre privilège, limitant l’accès des utilisateurs aux seules applications nécessaires et non à l’ensemble du réseau, ce qui réduit fortement les risques de propagation des attaques. D’après les données récentes, cette stratégie a permis des progrès notables dans la prévention des menaces :
| Mesure de sécurité |
Avant |
Après |
| Tentatives d’accès non autorisées |
127 par jour |
3 par jour |
| Temps de détection des menaces |
72 heures |
15 minutes |
| Taux de confiance utilisateur |
42 % |
89 % |
ZK Security a également renforcé ses protocoles de chiffrement pour protéger les données sensibles lors de leur transmission et de leur stockage. Le système intègre désormais des solutions avancées de prévention des pertes de données, capables de détecter et de sécuriser les informations sensibles en transit vers le web, au repos dans le cloud et en usage sur les endpoints. Cette approche multicouche s’est avérée efficace lors des derniers tests d’intrusion, aucune vulnérabilité critique n’ayant été détectée : gate confirme ainsi son engagement à maintenir les plus hauts standards de sécurité pour sa plateforme ZK.
FAQ
Qu’est-ce qu’un zk coin ?
Un zk coin est une cryptomonnaie qui utilise les zero-knowledge proofs pour offrir une scalabilité et une confidentialité accrues sur le réseau ZKsync. Elle permet des transactions rapides et sécurisées, et relie blockchains publiques et privées.
Quelle est la crypto de Donald Trump ?
Donald Trump a lancé un meme coin nommé $TRUMP en 2025, juste avant son entrée en fonction. Ce jeton repose sur un meme internet et ne bénéficie d’aucun cadre légal de déclaration ou de cession pour les responsables publics.
Existe-t-il un jeton ZKsync ?
Oui, le jeton ZKsync existe. Il s’agit du jeton natif d’utilité et de gouvernance de l’écosystème zkSync, utilisé pour régler les frais de transaction et participer à la gouvernance.
Quel est le nom de la crypto d’Elon Musk ?
Elon Musk ne dispose pas de sa propre cryptomonnaie. Il soutient publiquement Bitcoin et Dogecoin, mais n’a jamais créé de jeton personnel.
* Les informations ne sont pas destinées à être et ne constituent pas des conseils financiers ou toute autre recommandation de toute sorte offerte ou approuvée par Gate.
