レイヤー2のイーサリアムのスケーリングソリューションであるzkSyncは、2025年4月15日に大規模なセキュリティ侵害に見舞われました。プロトコルのエアドロッププロセスを管理する管理者ウォレットが悪意のある者に乗っ取られました。攻撃者は、「sweepUnclaimed()」という名前のスマートコントラクト機能を悪用することで、合計1億1100万ZKトークンを発行し、約500万ドル相当の資産を横領しました。この金額は、総ZK供給の約0.45%に相当します。
事件後、zkSyncチームはセキュリティパートナーであるSEALと共に迅速な対応を行いました。事件の後、zkSync開発チームはセキュリティパートナーのSEALと共に救助作戦を開始しました。チームからの発表によると、攻撃は管理者ウォレットにのみ制限されており、ユーザーの資金には直接影響がないとのことです。エアドロップに関連する契約の監査が行われ、「sweepUnclaimed()」関数は永久に無効化されました。
更新: 調査の結果、3つのエアドロップ配布契約の管理者であったアカウントが侵害されていたことが明らかになりました。侵害されたアカウントアドレスは0x842822c797049269A3c29464221995C56da5587Dです。
攻撃者は sweepUnclaimed() 関数を呼び出しました。
— ZKsync (∎, ∆) (@zksync) 2025年4月15日
攻撃の後、ZKトークンの価格は短期間で18%減少し0.040ドルまで下落しましたが、日中にはやや回復し0.046–0.047ドルの範囲で取引されました。この出来事は、レイヤー2プロトコルにおける管理者アクセスの安全性とエアドロップメカニズムの透明性を再び議論の的にしました。
しかし、プロセスの最後に予期しない展開がありました。zkSyncチームがハッカーに提示した**「バウンティ」(報酬)の提案を受け入れた結果、攻撃者は盗んだトークンの90%を返還しました**。この返金は、4月23日に3つの別々の取引としてZKsyncセキュリティ評議会のウォレットに行われました。ハッカーは、残りの部分を「ホワイトハット」ラベルで報酬として受け取りました。
事件以来、ETHとZKの価格が上昇したおかげで、回収された資産の総価値は、攻撃時の価値を上回る水準に達しました。zkSyncは、事件に関する最終技術報告書が作成中であり、コミュニティと詳細に共有されることを発表しました。コミュニティの一般的な見解は、zkSyncチームの透明なコミュニケーションと柔軟な危機管理によって、より大きな信頼危機が回避されたというものです。資金の回収とハッカーとの和解の選択は、類似の状況に対する模範的な「倫理的ハッキング」シナリオを作り出しています。しかし、この事件は、中央集権的な構造がオープンソースの金融システム内でどのように追加のリスクを伴うことができるかを再び浮き彫りにしました。
この記事は投資のアドバイスや推奨を含んでいません。すべての投資および取引活動にはリスクが伴い、読者は決定を下す際に自分自身で調査を行う必要があります。
