Ethereum Layer-2スケーリングソリューションであるZksyncは、セキュリティ侵害を確認しました

攻撃者は、3つのエアドロップ配信契約でswepunclaimed（）関数を悪用し、1億1100万ZKトークンをまとめました

An Ethereum Layer-2 scaling solution Zk sync was subject to a security breach that saw an compromised admin account used to steal unclaimed ZK tokens from its June 2024 airdrop for a total of around $5 million.

Ethereum Layer-2スケーリングソリューションZK同期は、2024年6月のAirdropから請求されていないZKトークンを合計約500万ドルで盗むために使用される侵害された管理者アカウントを見たセキュリティ侵害の対象となりました。

The attacker exploited the sweepUnclaimed() function in three airdrop distribution contracts to mint 111 million ZK tokens, which increased the circulating supply by 0.45%. The compromised account was identified as wallet 0x842822c797049269A3c29464221995C56da5587D.

攻撃者は、3つのエアドロップ配信契約でSweeunClaimed（）機能を1億1100万ZKトークンに悪用し、循環供給を0.45％増加させました。侵害されたアカウントは、ウォレット0x842822C797049269A3C29464221995C56DA5587Dとして識別されました。

"This had no impact on user funds, the core protocol, ZK token contract, or governance systems. We are able to fully contain the breach, Gluchowski said.

「これは、ユーザーファンド、コアプロトコル、ZKトークン契約、またはガバナンスシステムに影響を与えませんでした。違反を完全に封じ込めることができます、とGluchowskiは言いました。

The team is conducting a full investigation and working with cybersecurity experts and exchanges for recovery efforts, having also urged the attacker to cooperate to avoid legal consequences. The incident caused a sharp 20% drop in ZK token price, later recovering slightly to around $0.046.

チームは完全な調査を実施し、サイバーセキュリティの専門家や回復の取り組みと協力して、攻撃者に法的結果を避けるために協力するよう促しています。この事件により、ZKトークン価格の20％の急激な低下が発生し、後にわずかに回復して約0.046ドルになりました。

The team was able to quickly revoke the compromised admin key to prevent further unauthorized access to the airdrop distribution contracts. This ensured that no additional tokens could be minted via the exploited sweepUnclaimed() function, as confirmed by the team on April 16, 2025. The team verified that the breach was isolated to three airdrop contracts, with no impact on the core Zk sync protocol, ZK token contract, governance systems, or user funds. All vulnerable tokens were minted, closing the exploit vector.

チームは、侵害された管理キーを迅速に取り消すことができ、エアドロップ配信契約への不正アクセスをさらに防止しました。これにより、2025年4月16日にチームによって確認されたように、エクスプロイトされたsweepunclaimed（）関数を介して追加のトークンを鋳造できないことが保証されました。チームは、コアZK Syncプロトコル、ZKトークン契約、ガバナンスシステム、またはユーザーファンドに影響を与えずに、違反が3つのエアドロップ契約に隔離されたことを確認しました。すべての脆弱なトークンが鋳造され、エクスプロイトベクトルが閉じられました。

An internal investigation was launched to determine how the admin account wallet address was compromised. Zk sync’s co-founder, Alex Gluchowski, noted that the unclaimed tokens were meant to return to the Token Assembly, and the team is probing why this didn’t occur. A full incident report was promised, with Gluchowski stating it would be published once the investigation and recovery efforts are complete.

管理者アカウントウォレットアドレスがどのように侵害されたかを判断するために、内部調査が開始されました。 ZK Syncの共同設立者であるAlex Gluchowskiは、請求されていないトークンがトークンアセンブリに戻ることを意図しており、チームはこれがなぜ発生しなかったのかを調査していると述べました。完全なインシデントレポートが約束され、Gluchowskiは調査と回復の取り組みが完了すると公開されると述べています。

Zk sync is cooperating with the Security Alliance (SEAL), a blockchain cybersecurity group, to track the attacker’s movements and recover the stolen funds. SEAL is assisting in tracing the 111 million ZK tokens, most of which remain in the attacker’s wallet (0xb102…d6a8). The team is working with cryptocurrency exchanges to freeze the stolen assets.

ZK Syncは、攻撃者の動きを追跡し、盗まれた資金を回収するために、ブロックチェーンサイバーセキュリティグループであるSecurity Alliance（SEAL）と協力しています。シールは、1億1,100万のZKトークンのトレースを支援しており、そのほとんどは攻撃者の財布（0xB102…D6A8）に残っています。チームは、盗まれた資産を凍結するために、暗号通貨取引所と協力しています。

Out of the stolen tokens, around 44 million were later detected flowing through decentralized exchange (DEX) protocols, such as Uniswap and Balancer, as the attacker attempted to swap them for ETH. This resulted in the recovery and freezing of 2,200 ETH ($3.4 million) in several transactions. However, Gluchowski clarified that the recovered ETH was not necessarily a direct result of selling the stolen ZK tokens.

盗まれたトークンのうち、約4,400万人が、攻撃者がETHのために交換しようとしたため、UniswapやBalancerなどの分散型交換（DEX）プロトコルを介して流れる約4,400万人が検出されました。これにより、いくつかの取引で2,200 ETH（340万ドル）の回復と凍結が行われました。しかし、Gluchowskiは、回収されたETHが必ずしも盗まれたZKトークンを販売した直接的な結果ではないことを明らかにしました。

Security teams reacted swiftly, managing to freeze suspicious transactions within hours of the breach, limiting further damage. Gluchowski confirmed that the team is actively monitoring the situation and cooperating with exchanges to identify and segregate any additional stolen assets.

セキュリティチームは迅速に反応し、違反から数時間以内に疑わしいトランザクションを凍結することができ、さらなる損害を制限しました。 Gluchowskiは、チームが状況を積極的に監視し、交換と協力して追加の盗まれた資産を特定して分離していることを確認しました。

In a public plea, Zk sync urged the attacker to contact their security team at security@zksync.io to cooperate in returning the stolen funds, threatening legal consequences if they fail to comply. This approach aims to recover assets without escalating to law enforcement.

ZK Syncは、公的な嘆願で、攻撃者にSecurity@Zksync.ioのセキュリティチームに連絡するよう促し、盗まれた資金を返還する際に協力し、従わなかった場合に法的結果を脅かしました。このアプローチは、法執行機関にエスカレートすることなく資産を回収することを目的としています。

The threat of legal action was mentioned in a post on April 15, 2025, where Zk sync announced the incident and provided details of the compromised wallet. They also explained how the attacker exploited the sweepUnclaimed() function to mint new tokens and increase the circulating supply.

法的措置の脅威は、2025年4月15日の投稿で言及され、ZK Syncが事件を発表し、侵害されたウォレットの詳細を提供しました。彼らはまた、攻撃者が新しいトークンをミントし、循環供給を増やすためにswepunclaimed（）関数をどのように悪用したかを説明しました。

In a follow-up post on April 16, 2025, Zk sync assured users that they had quickly revoked the compromised admin key, preventing further access to the airdrop distribution contracts and ensuring that no additional tokens could be minted. The team also verified that the breach was isolated to three airdrop contracts, with no impact on the core Zk sync protocol, ZK token contract, or user funds. All vulnerable tokens were minted, closing the exploit vector.

2025年4月16日のフォローアップ投稿で、ZK Syncはユーザーが侵害された管理キーをすぐに取り消し、エアドロップ配信契約へのさらなるアクセスを防ぎ、追加のトークンを鋳造できないことを保証しました。チームはまた、コアZK同期プロトコル、ZKトークン契約、またはユーザーファンドに影響を与えずに、3つのエアドロップ契約に違反が隔離されたことを確認しました。すべての脆弱なトークンが鋳造され、エクスプロイトベクトルが閉じられました。

The team is working on rolling out stronger security protocols, transitioning to multi-party computation (MPC) wallets, and introducing real-time transaction monitoring and decentralized governance controls for treasury management. These measures are intended to address vulnerabilities in admin key management and restore investor confidence following the incident.

チームは、より強力なセキュリティプロトコルの展開、マルチパーティ計算（MPC）ウォレットへの移行、財務管理のためのリアルタイムトランザクション監視と分散型ガバナンス管理の導入に取り組んでいます。これらの措置は、管理キー管理の脆弱性に対処し、事件後の投資家の信頼を回復することを目的としています。

The breach highlighted the centralization risks in airdrop contract management, prompting calls for more robust multi-signature wallet protections and regular security audits to mitigate such incidents.

この違反は、Airdrop契約管理の集中リスクを強調し、そのようなインシデントを緩和するために、より堅牢なマルチシグネチャウォレット保護と定期的なセキュリティ監査の呼び出しを促しました。

The ZK token price dropped 15-20% following the breach, falling from $0.047 to as low as $0.039, but later recovered slightly to around $0.046-$0.0475. Zk sync’s assurances about protocol security helped mitigate panic selling, though trading volume surged

ZKトークンの価格は、違反後15-20％減少し、0.047ドルから0.039ドルまで下落しましたが、後にわずかに回復して約0.046〜0.0475ドルになりました。プロトコルのセキュリティに関するZK Syncの保証は、取引量が急増したにもかかわらず、パニック販売の軽減に役立ちました