1.11억 개의 ZK 토큰이 갑자기 도난당한 가운데, ZKsync 이야기는 종말을 향해 가는 것일까?
최근 업계 전반에 걸쳐 잇단 보안 사고가 발생하며 어려움을 겪고 있다.
4월 15일 저녁, 과거 L2의 '사천왕' 중 하나로 불렸던 ZKsync에서 프로젝트 토큰 관련 보안 사건이 발생했다. 하지만 이 정보는 프로젝트 팀이 처음으로 공개한 것이 아니었다. 어제(15일) 오후 9시경 커뮤니티 회원이 SNS를 통해 ZKsync가 체인 상에서 1.1억 개의 토큰을 발행했으며, 이미 6600만 개를 매도하고 있다고 폭로했다. 그런데 토큰 언락 일정에 따르면 팀과 투자자들의 토큰은 여전히 락업 상태여야 한다.
이 소식이 전해지자 ZK 토큰 가격은 30분 만에 0.04 USDT 아래로 추락했고, 최저 0.03972 USDT까지 떨어졌다. 한국 거래소 빗썸(Bithumb)은 ZK 토큰에 보안 문제가 확인됐다며 입출금 서비스를 일시 정지했고, 시장 안정성이 확보될 때까지 유지할 것이라고 밝혔다. ZKsync 공식팀 역시 디스코드에서 "현재 조사 중"이라고 답변했다.
커뮤니티에서는 프로젝트 팀이 자체적으로 토큰을 증발시켜 악용한 것 아니냐는 추측이 나왔지만, 이후 ZKsync는 다음과 같은 공지를 발표했다.
조사 결과 이번 보안 사고는 세 개의 에어드랍 분배 컨트랙트 관리자 계정의 비밀키가 유출되면서 해킹당한 것으로, 공격자가 sweepUnclaimed() 함수를 호출해 에어드랍 컨트랙트에서 약 1.11억 개의 미수령 ZK 토큰을 생성했으며, 유통 공급량이 약 0.45% 증가했고, 가치는 약 500만 달러 규모다. 그러나 이번 공격은 ZK 토큰 에어드랍 분배 컨트랙트에 한정된 것으로, ZKsync 프로토콜 자체, ZK 토큰 컨트랙트, 세 개의 거버넌스 컨트랙트 및 모든 활성화된 토큰 발행 제한 기능에는 영향이 없었다. 현재 거래소와 협력하여 복구 작업을 진행 중이며, 공격자에게 자금을 반납하고 법적 책임을 피할 것을 권고한다고 밝혔다.
조사는 계속 진행 중이며, 향후 상세한 업데이트 정보가 제공될 예정이다.
실제 토큰 도난은 이틀 전이었다
하지만 공식 설명은 커뮤니티의 신뢰를 얻기엔 부족했다. 체인 데이터에 따르면, 해커는 4월 13일 오후 8시(UTC+8)에 이미 ZK 토큰 에어드랍 컨트랙트에서 1.11억 개의 토큰을 생성했으며, 즉시 크로스체인 이동 및 매도를 시작했다. 현재 해당 계정에는 약 4468만 개의 ZK 토큰(약 212만 달러)만 남아 있으며, 이는 전체 공급량의 0.34%에 해당한다.
해커는 4월 13일에 이미 공격에 성공함
따라서 어제의 ZK 토큰 가격 하락은 해커의 매도 때문이라기보다는, 도난 사실이 알려지며 커뮤니티의 공포 매도가 촉발된 것으로 볼 수 있다.
ZK 토큰 가격은 현재 다시 0.045 USDT 위로 회복되었지만, 중요한 점은 에어드랍 토큰이 이미 이틀 전에 도난당했음에도 불구하고, 이를 처음으로 알린 건 커뮤니티였다는 것이다. ZKsync는 정말 몰랐던 것인지, 아니면 커뮤니티의 혼란을 막기 위해 고의로 숨겼던 것인가? 만약 ZKsync가 진짜로 커뮤니티 경로를 통해야 비로소 사태를 인지하고 조사를 시작했다면, 과연 과거의 사천왕급 프로젝트가 실상은 '임시방편 팀'에 불과하다는 비판을 피하기 어렵다. 집이 털렸는데도 전혀 눈치채지 못했던 셈이다.
커뮤니티는 이번 사건이 내부자의 횡령 가능성도 있다고 추측하고 있다. 설마 에어드랍 컨트랙트 관리자 계정의 키를 단 한 사람이 관리하고 있었단 말인가? 또 사건이 발생한 이상, 도난된 자금은 어떻게 처리할 것인지, 동결이나 리파이낸스回购)가 가능한지도 모두 프로젝트 팀이 명확히 답해야 할 문제들이다. 이에 대한 최종 조사 결과는 Odaily 스타레터가 지속적으로 보도할 예정이다.
ZKsync는 과연 어떤 종말을 맞이하는가?
이번 사건은 원래 탈중앙화를 지향하는 시스템 속에서 중심화된 관리자 권한이 초래할 수 있는 위험성을 적나라하게 드러냈다. 강력한 계정 접근 통제와 스마트 컨트랙트 보안은 마찬가지로 중요하며, 관리자 키의 보안성은 암호화 프로젝트 전체의 안전성과 직결된다. 이를 별개로 다룰 수 없다.
그러나 의문이 산재한 와중에도 해커는 여전히 즐겁게 토큰을 팔아치우고 있는데, ZKsync 창립자는 X(트위터)에서 당당하게 "이번 공격은 코드 유출이 아니라 관리자 키 유출일 뿐, 그래서 ZK가 바로 종국(Endgame)이다"라고 주장했다.
ZK 검증 기술은 그동안 낙관적 증명(Op)보다 더 높은 보안성을 갖췄다고 평가받으며, 이더리움 L2의 궁극적 기술 형태, 즉 Endgame으로 여겨져 왔다. 그러나 이번 토큰 도난 사건은 핵심 프로젝트 코드는 아니었지만, 에어드랍 분배 컨트랙트의 보호 조치가 너무 취약했다는 점을 보여준다. 마치 최첨단 고층빌딩의 벽 안에 옛날 흙집에서나 쓰는 볏짚이 채워진 것과 같다.
커뮤니티가 "ZK 분야의 선두주자 중 하나로서 왜 이런 공격을 예측하지 못했느냐"고 질타하자, ZKsync 창립자는 당당히 "블랙스완을 예측할 수는 없다"고 답했다. 관리자 계정 키 유출은 블록체인 프로젝트에서 가장 흔한 공격 방식 중 하나이며, 사용자가 매일 겪는 피싱 공격만큼이나 일반적인 일이다. ZKsync가 사전에 보안 조치를 강화하지 않고 모든 것을 블랙스완으로 치부하는 것은 팀의 보안 인식이 매우 낮음을 반영한다.
또한 ZKsync의 실제 활용 현황은 어떠한가? DeFiLlama 데이터에 따르면, ZKsync의 현재 TVL(총 잠금 자산)은 5529만 달러로 52위를 기록 중이며, 24시간 체인 수입은 고작 2178달러다. 2024년 9월부터 하루 수입이 5000달러 아래로 떨어졌고, 비교 대상인 Arbitrum은 여전히 하루 수입 1만 달러를 넘긴다. ZKsync는 실질적으로 '유령 체인(Ghost Chain)'이 되어버렸다.
ZKsync가 향하는 Endgame은 영화 속 히어로가 최종 보스를 물리친 후 맞는 환상적인 결말이 아니라, 게임에서 실력 부족으로 처참히 패배한 후 나타나는 검은 화면의 종말이다. 그러나 완전히 무너지기 전에, ZKsync가 최소한 투자자들을 먼저 구해줬으면 하는 바람이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
Odaily
