ZKsyncから約500万ドル相当のZKトークン不正流出
Ethereum(イーサリアム)のレイヤー2プロトコル「ZKsync(zkシンク)」のセキュリティチームが、管理者アカウントが侵害され、エアドロップの未請求トークン約500万ドル(約7億6,500万円)相当が不正アクセスされたことを4月15日に公表した。
侵害されたアカウントはエアドロップ配布コントラクトの管理者であり、攻撃者は「sweepUnclaimed()」という関数を呼び出して約1億1,100万ZKトークンを不正にミントした。これは総供給量の約0.45%に相当する。
セキュリティチームによると、ユーザー資金は安全であり、リスクにさらされることはなかったとのことだ。また、「ZKsync」のプロトコルとZKトークンコントラクト自体は安全を維持しており、これ以上のZKトークンがリスクにさらされることはないという。
今回の攻撃は管理者の秘密鍵が侵害された単独の事案であり、影響範囲はZKトークンのエアドロップコントラクトに限定されている。今回の攻撃により発行可能だったトークンは全てミント済みとなっており、この方法によるさらなる不正利用は不可能とのことだ。
ZKトークンは2024年6月に導入された総供給量210億のネイティブトークンで、この事件の影響により約20%の価格下落を記録した。
「ZKsync」のセキュリティチームは現在、セキュリティ組織のSealや複数の取引所と連携して資金回収に取り組んでおり、攻撃者に対しては、資金の返還と法的措置を避けるための交渉に応じるよう促している。
なお、「ZKsync」は「Matter Labs(マターラボ)」によって開発されたイーサリアム上のレイヤー2ソリューションであり、昨年のトークンエアドロップは不公平なトークン配布やシビル攻撃対策の失敗などの批判を受けていた。
シビル攻撃とは、複数のアカウントやIDを保有することで1ユーザーに対して許されているリクエストの量を超えてリクエストを行う攻撃のことだ。
ZKsync security team has identified a compromised admin account that took control of ~$5M worth of ZK tokens — the remaining unclaimed tokens from the ZKsync airdrop. Necessary security measures are being taken.
— ZKsync (∎, ∆) (@zksync) April 15, 2025
All user funds are safe and have never been at risk. The ZKsync…
画像:iStoks/LuckyStep48