ZKsync、管理者アカウント侵害により約5Mドル相当のZKトークン流出

ZKsyncから約5百万ドル相当のZKトークン不正流出

Ethereum（イーサリアム）のレイヤー2プロトコル「ZKsync（zkシンク）」のセキュリティチームが、管理者アカウントが侵害され、エアドロップの未請求トークン約500万ドル（約7億6,500万円）相当が不正アクセスされたことを4月15日に公表した。

侵害されたアカウントはエアドロップ配布コントラクトの管理者であり、攻撃者は「sweepUnclaimed()」という関数を呼び出して約1億1,100万ZKトークンを不正にミントした。これは総供給量の約0.45%に相当する。

セキュリティチームによると、ユーザー資金は安全であり、リスクにさらされることはなかったとのことだ。また、「ZKsync」のプロトコルとZKトークンコントラクト自体は安全を維持しており、これ以上のZKトークンがリスクにさらされることはないという。

今回の攻撃は管理者の秘密鍵が侵害された単独の事案であり、影響範囲はZKトークンのエアドロップコントラクトに限定されている。今回の攻撃により発行可能だったトークンは全てミント済みとなっており、この方法によるさらなる不正利用は不可能とのことだ。

ZKトークンは2024年6月に導入された総供給量210億のネイティブトークンで、この事件の影響により約20%の価格下落を記録した。

「ZKsync」のセキュリティチームは現在、セキュリティ組織のSealや複数の取引所と連携して資金回収に取り組んでおり、攻撃者に対しては、資金の返還と法的措置を避けるための交渉に応じるよう促している。

なお、「ZKsync」は「Matter Labs（マターラボ）」によって開発されたイーサリアム上のレイヤー2ソリューションであり、昨年のトークンエアドロップは不公平なトークン配布やシビル攻撃対策の失敗などの批判を受けていた。

シビル攻撃とは、複数のアカウントやIDを保有することで1ユーザーに対して許されているリクエストの量を超えてリクエストを行う攻撃のことだ。

ZKsync security team has identified a compromised admin account that took control of ~$5M worth of ZK tokens — the remaining unclaimed tokens from the ZKsync airdrop. Necessary security measures are being taken.

All user funds are safe and have never been at risk. The ZKsync…

— ZKsync (∎, ∆) (@zksync) April 15, 2025

画像：iStoks/LuckyStep48

関連ニュース

• DEXの1inch、クロスチェーンスワップをZKsyncに対応開始
• コインベースにZKsync（ZK）・Moonwell（WELL）・CoW Protocol（COW）上場へ
• DeFiレンディング「Aave（AAVE）」、イーサL2「ZKsync Era」上に展開
• ユニスワップ、イーサリアムL2「ZKsync」で稼働開始
• バイナンスにZKsync（ZK）上場へ