Ethereum Layer-2スケーリングソリューションであるZksyncは、セキュリティの妥協を明らかにしました

問題は、エアドロップ契約を管理する管理ウォレットが損なわれた後に発生しました。

Layer-2 scaling solution ZKsync has disclosed a security compromise that resulted in the theft of $5 million in unclaimed airdrop tokens. The issue arose after an administrative wallet managing the airdrop contracts was compromised. This breach, described as an “isolated attack,” has raised concerns about the security of token distribution in the zk-rollup market, especially following last year’s 21 billion token airdrop, which drew criticism for unequal allocation and poor Sybil protection.

レイヤー-2スケーリングソリューションZKSYNCは、請求されていないエアドロップトークンで500万ドルの盗難をもたらすセキュリティの妥協を明らかにしました。この問題は、エアドロップ契約を管理する管理ウォレットが侵害された後に発生しました。 「孤立した攻撃」と呼ばれるこの違反は、特に昨年の210億のトークンエアドロップに続いて、ZK-Rollup市場におけるトークン分布のセキュリティに関する懸念を提起しました。

How the Exploit Occurred

エクスプロイトがどのように発生したか

On April 15, ZKsync disclosed a breach involving the unauthorized use of an admin wallet to siphon unclaimed airdrop tokens. The attacker exploited a privileged function in the airdrop distribution contracts to mint about 111 million ZK tokens, valued at roughly $5 million, and clocked the circulating supply by 0.45%. According to ZKsync’s official statement on X (formerly Twitter), the exploit involved the misuse of the ‘sweepUnclaimed()’ function, which had the capability to collect unallocated tokens from the ongoing airdrop initiative.

4月15日、ZKSYNCは、請求されていないエアドロップトークンをサイフォンに吸い上げて、管理ウォレットを許可しない使用を含む違反を開示しました。攻撃者は、Airdrop Distribution Contractsで特権的な機能を利用して、約500万ドルと評価された約1億1100万ZKトークンをMintにし、循環供給を0.45％記録しました。 XKSYNCのXに関する公式声明（以前のTwitter）によると、エクスプロイトには、進行中のAirdropイニシアチブから未割り当てトークンを収集する機能がある「SweeunClaimed（）」関数の誤用が含まれていました。

“The attacker called the sweepUnclaimed() function that minted approximately 111 million unclaimed ZK tokens from the airdrop contracts,” confirmed ZKsync.

「攻撃者は、AirDrop契約から約1億1100万件の未請求のZKトークンを鋳造したSweeunClaimed（）関数を呼びました」とZksyncは確認しました。

The team clarified that this breach was isolated, noting that “this incident is contained to the airdrop distribution contracts only, and all the funds that could be minted have been minted. No further exploits via this method are possible.”

チームは、この違反は隔離されていることを明らかにし、「この事件はエアドロップ分配契約のみに含まれており、鋳造できるすべての資金は鋳造されている。この方法を介したそれ以上の搾取は不可能である」と指摘した。

ZKsync highlighted that the attack did not affect any user funds or core smart contracts, and that “necessary security measures are being taken,” along with a complete investigation into the matter to assess it and prevent future vulnerabilities.

Zksyncは、攻撃はユーザーファンドやコアスマートコントラクトに影響を与えず、「必要なセキュリティ対策が講じられている」と、それを評価し、将来の脆弱性を防ぐための問題の完全な調査とともに強調した。

Further examination by security researchers revealed that the vulnerability was facilitated by weak controls around privileged functions. Critics noted that the compromised admin wallet lacked comprehensive multisignature (multisig) security, which if addressed might have minimized or prevented the breach.

セキュリティ研究者によるさらなる調査により、脆弱性は特権機能に関する弱いコントロールによって促進されたことが明らかになりました。批評家は、侵害された管理者ウォレットには包括的なマルチシグネチャー（マルチシグ）セキュリティがないことに注目しました。

ZKsync is working with the Security Alliance (SEAL) on recovery efforts, confirming that its token contracts and governance are not affected, and no other exploits are possible through the “sweepUnclaimed()” vector. The total value locked (TVL) on ZKsync Era, a layer-2 protocol based on zero-knowledge rollups on Ethereum, now stands at $57.3 million. On April 15, the company was distributing 17.5% of its token supply to members of the ecosystem.

ZKSYNCは、復旧の取り組みについてセキュリティアライアンス（SEAL）と協力しており、そのトークン契約とガバナンスが影響を受けておらず、「sweaunclaimed（）」ベクトルを通じて他のエクスプロイトが不可能であることを確認しています。 Zksync時代にロックされた合計値（TVL）は、Ethereumのゼロ知識ロールアップに基づいたレイヤー2プロトコルであり、現在は5730万ドルです。 4月15日、同社はトークン供給の17.5％をエコシステムのメンバーに配布していました。

Market Reaction and Damage Assessment

市場の反応と損傷の評価

The market reacted swiftly to the hack, with ZK tokens losing over 13.7% of their value in only 24 hours, dropping from $0.046 to $0.039. Trading volume surged by 96% to $71 million, indicating significant selloff activity and fear on decentralized exchanges.

市場はハックに迅速に反応し、ZKトークンはわずか24時間でその価値の13.7％以上を失い、0.046ドルから0.039ドルに低下しました。取引量は96％増加して7100万ドルで、著しい売りの活動と分散型交換に対する恐怖を示しています。

Further investigation revealed that the attacker quickly swapped the stolen tokens for ETH to cover their tracks, routing the proceeds through multiple wallets. At present, about 44 million of the stolen tokens, valued at roughly $2.1 million, remain unlocated, while 2,200 ETH (approximately $3.4 million) can still be traced.

さらなる調査により、攻撃者は盗まれたトークンをすばやく交換してETHのトラックをカバーし、収益を複数の財布にルーティングしています。現在、約2,10万ドルの価値がある盗まれたトークンの約4,400万人が留置されたままであり、2,200 ETH（約340万ドル）を追跡できます。

Broader Implications for DeFi Security

Defiセキュリティに対するより広範な意味

This event underscores the importance of robust security measures on DeFi platforms. As the ecosystem grows, safeguarding the integrity of administrative controls is crucial for maintaining user trust and protecting assets.

このイベントは、Defiプラットフォームに対する堅牢なセキュリティ対策の重要性を強調しています。生態系が成長するにつれて、管理制御の整合性を保護することは、ユーザーの信頼を維持し、資産を保護するために重要です。

The ZKsync hack serves as a stark reminder of the vulnerabilities that can exist in smart contract systems, particularly those involving administrative responsibilities. As DeFi platforms expand and engage more users, comprehensive security audits and strong governance procedures become increasingly paramount.

ZKSYNCハックは、特に管理責任を伴うスマートコントラクトシステムに存在する可能性のある脆弱性を、厳しいリマインダーとして機能させます。 Defiプラットフォームがより多くのユーザーを拡大して関与させるにつれて、包括的なセキュリティ監査と強力なガバナンス手順がますます最重要になります。