1.11億枚のZKトークンが突然盗難、ZKsyncの物語は終局を迎える?
TechFlow厳選深潮セレクト
1.11億枚のZKトークンが突然盗難、ZKsyncの物語は終局を迎える?
ZKsyncはエンドゲームに向かっているが、これは映画でスーパーヒーローがボスを倒した後の完璧な結末ではなく、ゲームで実力不足によりやられて真っ暗になる画面の結末である。
Web3業界の深掘り報道に専念し潮流を洞察最近業界全体が不運に見舞われており、セキュリティインシデントが相次いで発生している。
4月15日夜間、かつてL2の「四大天王」の一つと称されたZKsyncがプロジェクトのトークンに関するセキュリティインシデントを起こしたが、情報はプロジェクト側から最初に公表されたものではなかった。昨夜21時頃、コミュニティメンバーがZKsyncがチェーン上で1.1億枚のトークンを発行し、すでに6600万枚をチェーン上で売却し続けていることを明らかにした。しかし、トークンのアンロック情報を確認すると、チームや投資家の保有分はまだロック中である。
このニュースを受け、ZKは30分以内に0.04USDTを割り込み、最低0.03972USDTまで下落した。韓国の取引所BithumbはZKにセキュリティ上の問題があるとして、市場が安定するまでZKの入出金サービスを一時停止すると発表した。その時点でも、ZKsync公式はDiscordで調査中であると返答していた。
コミュニティがプロジェクト側が悪意を持ってトークンを増発したのではないかと推測する中、ZKsyncは声明を発表した:
調査の結果、今回のセキュリティインシデントは、3つのエアドロップ配布コントラクトの管理者アカウントの鍵が漏洩し、ハッカーに侵入されたことによるものである。攻撃者はsweepUnclaimed()関数を呼び出し、未申領のZKトークン約1.11億枚をエアドロップコントラクトから新規発行し、流通供給量を約0.45%増加させ、価値は約500万ドルに上る。ただし、今回の攻撃はZKトークンのエアドロップ配布コントラクトにのみ関与しており、ZKsyncプロトコル、ZKトークンコントラクト、3つのガバナンスコントラクト、およびすべてのアクティブなトークン上限鋳造者には影響していない。現在、取引所と連携して復旧作業を進めているところであり、攻撃者に対しては資金を返還し、法的責任を回避するよう呼びかけている。
調査は継続中であり、詳細なアップデートは後日発表される予定である。
実際のトークン盗難は2日前
しかし、公式の説明はコミュニティの納得を得られていない――チェーン上のデータによると、ハッカーは4月13日20:00(UTC+8)にすでにZKトークンのエアドロップ配布コントラクトから1.11億枚のトークンを発行しており、直ちにクロスチェーンでの移動と売却を開始していた。現時点でこのアカウントには約4468万枚のZKが残っており、価値は約212万ドル。これは依然としてトークン供給量の0.34%を占めている。
ハッカーは4月13日にすでに攻撃に成功していた
したがって、昨夜のZKトークン価格の下落は、ハッカーの売却だけではなく、盗難というネガティブニュースが流出し、コミュニティがパニック売りを引き起こしたことが主因であると考えられる。
ZKトークン価格は現在0.045USDT以上に回復しているが、注目すべきは、エアドロップ用トークンが実際に盗まれたのはかなり前でありながら、それがコミュニティによって初めて指摘されるまで2日もかかった点だ。ZKsyncは本当に知らなかったのか、それともコミュニティの混乱を避けるため意図的に隠蔽していたのか? もしZKsyncがコミュニティ経由で初めて事態を把握し、その後調査を始めたのであれば、かつての「天王級」プロジェクトが実は「素人集団」だったと嘆くしかない。家を盗まれても気づかないほど無防備だったのだ。
コミュニティは合理的に、今回の事件が内部関係者の内通によるものではないかと推測している。果たしてエアドロップコントラクトの管理者鍵は一人で管理されていたのか? また、事件が発生した以上、失われた資金をどう処理するのか、凍結または買い戻しが可能なのか? これらすべての疑問に対し、チームからの回答が待たれる。Odaily星球日報は最終的な調査結果についても引き続き追跡報道する。
ZKsyncはいったいどこに向かっているのか?
今回の出来事は、本来は非中央集権的なシステムの中にある中央集権的な管理者権限のリスクを浮き彫りにした。強力なアカウントアクセス制御とスマートコントラクトのセキュリティは同様に重要であり、管理者の鍵の安全性は暗号資産プロジェクト全体の安全性に大きく影響するため、別個に論じるべきではない。
一方、疑惑が渦巻く中、ハッカーがなお堂々と売却を続けるさなか、ZKsyncの創業者はX上で自信満々に「今回の攻撃ではプロジェクトのコードは漏洩しておらず、管理者の鍵だけが漏れた。だからこそZKがエンドゲーム(究極の形)なのだ」と述べていた。
ZK検証などの技術は、楽観的検証(Op)よりも高い安全性を持つとされ、一時期はイーサリアムL2の最終的な技術形態、すなわちEndgameと見なされていた。だが、今回のトークン盗難事件はコアプロジェクトのトークンには関与しなかったとはいえ、エアドロップ配布コントラクトの保護措置があまりにも脆弱で、まるで最先端のハイテクビルの壁の中に昔の藁ぶき屋根の材料が使われているようなものだ。
コミュニティから「ZK分野のリーダーの一つとして、なぜこのような攻撃を予見できなかったのか」との質問に対し、ZKsyncの創業者は平然と「ブラック・スワンは予見できない」と答えた。しかし、権限アカウントの鍵の盗難はブロックチェーンプロジェクトにとって最も一般的な攻撃手法の一つであり、ユーザーが日々直面するフィッシング詐欺と同じくらい身近な脅威である。こうした基本的なセキュリティ対策を強化せず、すべてを「想定外」と片付けてしまう姿勢は、チームのセキュリティ意識の低さを如実に示している。
さらに、ZKsyncの実用面でのパフォーマンスはどうだろうか? DeFiLlamaのデータによると、ZKsyncの現在のTVL(総価値供託額)は5529万ドルで、ランキング52位。24時間のチェーン上収益はわずか2178ドルであり、2024年9月以降、毎日の収益は5000ドルを下回っている。一方、Arbitrumの日次収益は依然1万ドルを超えている。ZKsyncは文字通りの「ゴーストチェーン(死に体チェーン)」と化している。
ZKsyncは確かにEndgameに向かっている。だが、それは映画でスーパーヒーローがボスを倒して迎える完璧な結末ではなく、ゲームで実力不足で簡単に倒されて真っ暗な画面になる「ゲームオーバー」の終わり方だ。完全に終わってしまう前に、せめてZKsyncには投資者たちを救ってほしいものだ。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
Odaily
