최근 업계에서는 집단적인 수성 역행이 일어나고 있으며, 보안 사고도 자주 발생하고 있습니다.
4월 15일 저녁, L2의 사천왕 중 하나였던 ZKsync가 프로젝트 토큰 보안 사고에 노출되었지만, 프로젝트 당사자는 해당 정보를 먼저 공개하지 않았습니다. 어젯밤 21시에 커뮤니티 멤버들은 Zksync가 체인에 1억 1,000만 개의 토큰을 인쇄했고 체인에서 6,600만 개의 토큰을 판매했다고 공개했지만, 토큰 잠금 해제 정보에 따르면 팀과 투자자 토큰은 여전히 잠겨 있습니다.
이 소식에 영향을 받아 ZK는 30분 만에 0.4 USDT 이하로 떨어져 0.03972 USDT까지 떨어졌습니다. 한국 거래소 비썸은 ZK에서 보안 문제를 발견했으며, 시장 안정이 확보될 때까지 ZK 입출금 서비스를 일시적으로 중단한다고 밝혔습니다. 당시 ZKsync 임원진은 공식 Discord를 통해 조사가 진행 중이라고 답했습니다.
커뮤니티에서 프로젝트 소유자가 적극적으로 추가 토큰을 발행하고 있다고 추측하던 바로 그때, ZKsync는 다음과 같은 발표를 했습니다.
조사 결과, 이번 보안 사고는 3건의 에어드랍 배포 계약의 관리자 계정 키가 유출된 데에서 비롯된 것으로 밝혀졌습니다. 공격자는 sweepUnclaimed() 함수를 호출하여 aidrop 계약에서 청구되지 않은 ZK 토큰 약 1억 1,100만 개를 생성하여 유통 토큰 공급량을 약 0.45% 증가시켰고, 이는 약 500만 달러 상당입니다. 하지만 이 공격은 ZK 토큰 에어드랍 분배 계약에만 관련되었습니다. ZKsync 프로토콜, ZK 토큰 계약, 세 가지 거버넌스 계약, 그리고 모든 활성 토큰 프로그램 캡 민터는 이 사고의 영향을 받지 않았습니다. 현재 거래소와 협력하여 복구 활동을 진행 중이며, 공격자에게 자금을 반환하고 법적 책임을 피하도록 권고하고 있습니다.
조사는 현재 진행 중이며, 자세한 내용은 추후 공개될 예정입니다.
토큰은 실제로 2일 전에 도난당했습니다.
그러나 이러한 공식적인 설명은 커뮤니티를 설득하는 데 실패했습니다. 온체인 데이터에 따르면 해커들은 4월 13일 20:00(UTC+ 8)에 ZK 토큰 에어드랍 분배 계약을 통해 1억 1,100만 개의 토큰을 발행한 다음, 이를 여러 체인으로 전송하고 판매하기 시작했습니다. 현재 계좌에 남아 있는 ZK는 약 4,468만 개로, 가치는 약 212만 달러에 달합니다. 이는 여전히 토큰 공급량의 0.34%에 해당합니다.
해커는 4월 13일에 성공적으로 공격을 가했다
따라서 우리는 어젯밤 ZK 토큰의 가격 하락이 전적으로 해커의 매도로 인한 것이 아니라 주로 커뮤니티가 공황상태에서 매도하게 만든 도난 스캔들의 유출로 인한 것이라는 예비 결론을 내릴 수 있습니다.
ZK 토큰의 가격은 현재 0.045 USDT 이상으로 회복되었지만, 에어드랍된 토큰은 사실 오래전에 도난당했으며, 커뮤니티에서 처음으로 공개된 것은 이틀 후였습니다. ZKsync는 이 사실을 전혀 몰랐던 걸까요, 아니면 커뮤니티의 불안을 피하기 위해 의도적으로 숨긴 걸까요? ZKsync가 커뮤니티 채널을 통해 이 사실을 알게 되어 조사에 착수했다면, 한때 최고의 프로젝트였던 이 프로젝트가 사실은 자신들의 집이 도난당한 사실을 전혀 모르는 기초 팀 그룹의 지원을 받았다는 사실에 한숨을 쉬지 않을 수 없습니다.
커뮤니티에서는 이 사건이 내부 구성원의 도난이었을 것이라는 추측이 합리적이었습니다. 에어드랍 계약 관리자 계정 키를 한 사람이 보관하고 있었을 가능성이 있나요? 그러면서 이미 사건이 발생한 이상, 그 후에 도난당한 자금은 어떻게 처리해야 할까? 성공적으로 냉동하거나 다시 구매할 수 있나요? 이러한 질문은 아직 팀에서 답해야 할 문제입니다. Odaily Planet Daily에서는 후속 조치를 취하고 최종 조사 결과를 보고할 예정입니다.
ZKsync의 최종 결과는 어떻게 될까요?
이 사건은 원래 분산화된 시스템에서 중앙 집중화된 관리자 권한이 초래하는 위험을 잘 보여줍니다. 강력한 계정 접근 제어는 스마트 계약 보안 자체만큼 중요합니다. 관리자 키의 보안은 암호화 프로젝트의 보안에 심각한 영향을 미치므로 별도로 논의해서는 안 됩니다.
하지만 해커들이 의심의 구름 속에서도 여전히 즐겁게 코인을 매도하고 있을 때, ZKsync의 창립자는 X 플랫폼에서 이번 공격에서 프로젝트 코드는 유출되지 않았고, 관리자 키만 유출되었기 때문에 ZK가 최종 결과물입니다.라고 자신 있게 말했습니다 .
ZK 검증과 같은 기술은 항상 낙관적 증명(Op)보다 보안성이 더 뛰어나다는 평가를 받아왔으며, 한때는 Ethereum L2의 최종 기술 형태인 Endgame으로 여겨지기도 했습니다. 하지만 토큰 도난 사건에 핵심 프로젝트 토큰이 연루되지 않았음에도 불구하고, 에어드랍 배포 계약에 대한 보호 조치는 너무 약합니다. 마치 첨단 하이테크 건물의 벽에도 오래된 짚이 그대로 엉겨 있는 것과 같습니다.
ZK 분야의 리더 중 한 명으로서 왜 이 공격을 예견하지 못했습니까?라는 커뮤니티의 질문에 ZKsync의 창립자는 블랙 스완을 예견하는 것은 불가능하다고 뻔뻔하게 대답했습니다 . 허가된 계정 키를 훔치는 것은 블록체인 프로젝트에서 가장 흔한 공격 방법으로, 사용자들이 매일 직면하는 피싱 공격과 마찬가지입니다. ZKsync는 사전에 보안 조치를 강화하지 않고 모든 것을 블랙스완으로 정의했는데, 이는 팀의 보안 인식이 취약하다는 것을 보여줍니다.
또한, ZKsync는 실제 적용에서 어떤 성능을 보일까요? DeFiLlama 데이터 에 따르면 ZKsync의 현재 TVL은 5,529만 달러로 52위를 차지했습니다. 동시에 24시간 체인 수익은 2,178달러에 불과하고, 2024년 9월 이후로 일일 수익은 5,000달러 미만입니다. 이에 비해 Arbitrum은 여전히 일일 수익에서 10,000달러 이상을 창출합니다. ZKsync는 사실상 유령 체인이 되었습니다.
ZKsync는 엔드게임을 향해 나아가고 있습니다. 이것은 영화에서 슈퍼히어로가 보스를 물리친 후의 완벽한 엔딩이 아니라, 게임에서 플레이어가 너무 약해서 죽는 검은 화면 엔딩입니다. 하지만 완전히 망하기 전에, ZKsync가 먼저 갇힌 투자자들을 구해낼 수 있기를 바랍니다.
