最近、業界では水星逆行が起こり、セキュリティインシデントが頻繁に発生しています。
4月15日夕方、かつてL2の「四天王」の一人だったZKsyncがプロジェクトトークンのセキュリティインシデントに巻き込まれたが、その情報はプロジェクト側から事前に公開されていなかった。昨夜21:00に、コミュニティメンバーはZksyncがチェーン上で1億1000万トークンを印刷し、チェーン上で6600万トークンを販売していることを明らかにしましたが、トークンロック解除情報によると、チームと投資家のトークンは依然としてロックされています。
このニュースの影響を受けて、ZKは30分以内に0.4 USDTを下回り、0.03972 USDTの安値に達しました。韓国の取引所ビッサムは、ZKにセキュリティ上の問題が発見されたため、市場の安定が確保されるまでZKの入出金サービスを一時的に停止したと発表した。 ZKsyncの関係者もこの時点で公式Discord上で調査中であると回答した。
プロジェクトの所有者が積極的に追加のトークンを発行しているとコミュニティが推測していたちょうどその時、 ZKsyncは次のような発表をしました。
調査の結果、セキュリティインシデントは3つのエアドロップ配信契約の管理者アカウントキーの漏洩が原因であることが判明しました。攻撃者は sweepUnclaimed() 関数を呼び出し、aidrop 契約から約 1 億 1,100 万の未請求 ZK トークンを鋳造し、流通トークン供給量を約 0.45% 増加させました。これは約 500 万ドルに相当します。ただし、この攻撃は ZK トークンのエアドロップ配布契約にのみ関係していました。 ZKsync プロトコル、ZK トークン コントラクト、3 つのガバナンス コントラクトすべて、およびすべてのアクティブなトークン プログラム キャップ ミンターは、このインシデントの影響を受けませんでした。現在、取引所と連携して復旧作業が進められており、攻撃者に対して資金を返還し、法的責任を回避するよう勧告している。
調査は継続中で、詳細な最新情報は後日発表される予定です。
トークンは実際には2日前に盗まれた
しかし、このような公式の説明はコミュニティを納得させることができなかった。オンチェーンデータによると、ハッカーは4月13日20:00(UTC+8)にZKトークンエアドロップ配布契約から1億1100万トークンを鋳造し、その後チェーン間でそれらを転送および販売し始めた。現時点では、アカウントに残っているZKは約4,468万ZKで、価値は約212万米ドルだが、これは依然としてトークン供給量の0.34%を占める。
ハッカーは4月13日に攻撃に成功した。
したがって、昨晩のZKトークンの価格下落は、ハッカーの売却によって完全に引き起こされたのではなく、盗難スキャンダルの漏洩が主にコミュニティのパニックによる売却を引き起こしたためであるという予備的な結論を導き出すことができます。
ZKトークンの価格は現在0.045 USDT以上に回復していますが、エアドロップされたトークンは実際にはかなり前に盗まれており、コミュニティによって2日後まで初めて開示されなかったことを考慮に入れる価値があります。 ZKsync はこれまで本当にそのことに気づいていなかったのでしょうか、それともコミュニティの不安を避けるために意図的に隠していたのでしょうか?もしZKsyncが本当にコミュニティチャンネルを通じてこのことを知り、調査を開始したのであれば、かつてトッププロジェクトだったこのプロジェクトが、実は自分たちの家が盗まれたことに全く気づいていない「草の根チーム」のグループによって支えられていたことにため息をつくほかない。
コミュニティは、この事件が内部メンバーによる窃盗であるかどうかについて合理的な推測をしました。エアドロップ契約管理者アカウントキーが1人の人物によって保管されていた可能性はありますか?同時に、すでに事件が発生してしまった以上、その後に盗まれた資金はどのように扱われるべきでしょうか?凍結または買い戻しは正常に行えますか?これらの質問に対する回答はチームによってまだ出ていません。 Odaily Planet Dailyは引き続き追跡調査を行い、最終的な調査結果を報告します。
ZKsync の最終的な結果は何でしょうか?
この事件は、もともと分散化されたシステムにおいて管理者権限が集中化されることで生じるリスクも浮き彫りにしています。強力なアカウント アクセス制御は、スマート コントラクトのセキュリティ自体と同じくらい重要です。管理者キーのセキュリティも暗号プロジェクトのセキュリティに重大な影響を及ぼすため、個別に議論すべきではありません。
しかし、ハッカーたちが疑惑の雲の中でまだ喜んでコインを売っていたとき、ZKsyncの創設者はXプラットフォーム上で自信を持って「今回の攻撃ではプロジェクトコードは漏洩しておらず、管理者のキーのみが漏洩した。そのため、最終的な結果はZKである」と述べた。
ZK 検証などのテクノロジーは、楽観的証明 (Op) よりも優れたセキュリティを備えていると常に宣伝されており、かつては Ethereum L2 の最終的な技術的形式、つまり Endgame と考えられていました。しかし、トークン盗難にはコアプロジェクトトークンは含まれていなかったものの、エアドロップ配布契約の保護対策は、まるで先進的なハイテクビルの壁にまだ古いわらが敷き詰められているかのように、あまりにも弱すぎます。
「ZK分野のリーダーの一人として、なぜこの攻撃を予見できなかったのか」というコミュニティからの質問に対し、ZKsyncの創設者は「ブラックスワンを予見することは不可能だ」と大胆に答えました。許可されたアカウントキーの盗難は、ユーザーが毎日直面するフィッシング攻撃と同様に、ブロックチェーン プロジェクトに対する最も一般的な攻撃方法です。 ZKsyncは事前にセキュリティ対策を強化せず、すべてをブラックスワンと定義しましたが、これもチームのセキュリティ意識の弱さを反映しています。
さらに、ZKsync は実際のアプリケーションでどのように機能しますか? DeFiLlamaのデータによると、ZKsyncの現在のTVLは5,529万ドルで、52位にランクされています。同時に、24時間チェーンの収益はわずか2,178米ドルで、1日あたりの収益は2024年9月以降5,000米ドル未満となっています。比較すると、アービトラムは依然として1日あたり10,000米ドルを超える収益を生み出しています。 ZKsync はまさに「ゴーストチェーン」となっています。
ZKsync は Endgame に向かっています。これは、映画の中でスーパーヒーローがボスを倒した後の完璧なエンディングではなく、プレイヤーが弱すぎるために殺されるゲーム内の黒い画面のエンディングです。しかし、完全に殺される前に、まずはZKsyncが閉じ込められた投資家たちを救ってくれることを願っています。
