ハッカーがZKsyncの管理者アカウントを乗っ取り、500万ドル相当のZKトークンを不正取得

ZKsyncの管理者アカウントがハッキングの被害に遭う

ZKsyncの管理者アカウントの一つがハッキング被害に遭い、500万ドル（約7億円）相当のトークンが盗まれた事を 発表 した。

ZKsync security team has identified a compromised admin account that took control of ~$5M worth of ZK tokens — the remaining unclaimed tokens from the ZKsync airdrop. Necessary security measures are being taken.

All user funds are safe and have never been at risk. The ZKsync…

— ZKsync (∎, ∆) (@zksync) April 15, 2025

ZKsync X公式アカウントの声明によると、ハッカーは4月15日にZKsyncの管理者アカウントを不正に取得。乗っ取られたアカウントが500万ドルに相当する1億1,100万枚を不正に取得。セキュリティチームは、管理アカウントへの不正アクセスを特定。この不正アクセスを通じて、500万ドル相当のZKトークンを盗んでいる。これらのトークンは、エアドロップ後の未請求残高分であり、その後ハッカーは6,600万円以上のトークンを売却。トークン売却騒動の中で、コミュニティメンバーが開発者の行動に疑問を呈する中、横領疑惑が浮上した。今回のインシデントに際してプロジェクトチームは次のように述べている。

ユーザー資金はすべて安全であり、不正アクセスされたことはありません。ZKsyncプロトコルとZKトークンのスマートコントラクトは引き続き安全であり、ZKのセキュリティの継続に懸念はありません。

脆弱性を再び悪用することは不可能

調査チームによる詳細な調査の結果、研究者たちは問題のアカウント（0x842822c797049269A3c29464221995C56da5587D）がエアドロップの配布を担う3つのコントラクトを管理していることを発見している。

彼らの計算によると、このトランザクションにより流通トークン数が約0.45%増加しており、専門家らは、「エアドロップ配布のコントラクトのみに影響を与え、発行予定のトークンはすべて既に発行済み」であることを強調。したがって、この脆弱性を再び悪用することは不可能とのことだ。

ただし、攻撃者は依然としてこのアドレスに資金の大部分を保有。プロジェクトはSecurity Allianceの専門家と協力し、法的措置を回避するために攻撃者に資金の返還を促している。

ZKsyncハッキングとトークンダンプの混乱

イーサリアムのレイヤー2スケーラビリティソリューションであるZKsyncは、昨年（2024年）12月に史上最高値を記録したものの、2025年には着実に下落し、以前の底値を超え下落し続けた後の今回の大規模なハッキング被害だ。

500万ドル規模のハッキングは、ZKsyncだけでも大きな論争を巻き起こし、一部のコミュニティメンバーが深刻な疑惑につながるデータに気づきいたという。具体的には…、開発者は最近1億トークンを追加で発行。ZKsyncはハッキングに対し、自社資産を急速に売却することで対応。ハッキング発生後、すでに6,600万トークンを売却し、ZKの価値をさらに下落させる結果へとつながっており、AI兼仮想通貨投資家のユユエ・クリス（Yuyue Chris）氏はXで次のように 述べ ている。

市場を荒らすために株式を追加発行することは、間違いなく最も忌まわしい行為です。なぜなら、これは直接的で非倫理的な悪行だからです。私たちはどのように対応すべきでしょうか？ ZKsyncの今回の声明は全くの形式的なものであり、横領の疑いを払拭（ふっしょく）することはできません。

この不正行為がどこまで及ぶのか、開発者らが悪質な事態から逃れようとしているのか、それとも他の形で共謀していたのかは不明だ。