攻撃者は、ZKsync のエアドロップ契約に関連付けられた管理者アカウントを悪用し、500万ドル相当の未請求トークン 1 億 1,100 万個を発行しました。
ZKsync X公式アカウントの声明によると、4月15日、ハッカーがZKsyncの管理者アカウントに侵入し、500万ドル相当の未請求のエアドロップトークンを不正に取得しました。この攻撃は孤立したものであり、ユーザーの資金には影響がなかったとされています。
調査の結果、ZKsyncは4月15日に事件の詳細を発表し、侵害されたアカウントが3つのエアドロップ配布契約の管理権限を有していたことを明らかにしました。攻撃者はsweepUnclaimed()という関数を悪用し、未請求のZKトークン1億1100万枚を鋳造し、トークンの総供給量を0.45%増加させました。最新の更新時点でも、攻撃者は盗まれた資金の大部分を依然として管理しています。
ZKsyncは、 Security Alliance (SEAL)と連携して復旧作業を進めています。プロトコルによると、ガバナンスとトークンコントラクトは影響を受けていません。同社は、「sweepUnclaimed()」ベクトルによるさらなるエクスプロイトは不可能であると述べています。
ZKsyncは、ゼロ知識ロールアップと呼ばれる技術を用いて、メインレイヤーのトランザクションを一括処理するイーサリアムのレイヤー2プロトコルです。DefiLlamaによると、ZKsync Eraプラットフォームは4月15日時点で総額5,730万ドルのロックがかかっています。ZKsyncは、トークン供給量の17.5%をエコシステム参加者にエアドロップするプロセスを進めていました。
関連:DeFiプラットフォームKiloExがハッカーに75万ドルの報奨金を提供
ZKトークンは24時間取引で7%下落
ZKsyncのトークンであるZK(ZK)は、ハッキング事件とXでのプロジェクトの公開を受けて、価格が不安定な動きを見せました。UTC午後1時頃、トークンは16%下落し、0.040ドルまで下落しましたが、執筆時点では0.047ドルまで反発しました。この反発にもかかわらず、ZKは過去24時間で7%下落しています。
全体として、2025 年の第 1 四半期だけで20 億ドルが暗号通貨のハッキングによって失われており、これは2024 年の損失総額よりわずか3 億ドル少ないだけです。
