zkLendが950万ドルの盗難被害　ハッキング事件とその行方

2025-02-13

Web3領域に特化した無料キャリア相談

Web3で働きたい人材と優良企業をマッチングする求人サービスを行っています！
お気軽に「無料キャリア相談」をご利用ください！

キーワードで求人企業を探す

2025年2月12日、海外のDeFiプラットフォーム「zkLend」で大規模なハッキング事件が公表された。被害総額は約950万ドルに上り、盗まれた資金はイーサリアムネットワークへブリッジされて洗浄が試みられたと報じられている。
監視システムの警告やセキュリティ企業との連携が事態の早期発覚と被害拡大抑止に寄与したが、事件の全容解明と資金回収はなお続いている状況だ。

攻撃の経緯と監視システムによる早期発見

今回の事件は、2025年2月12日にStarknet（※）ネットワーク上で稼働するzkLendで発生したと公表されている。攻撃者はハッキングを行い、総額950万ドル相当の暗号資産を不正に取得したようだ。
奪われた資金はイーサリアムへのブリッジを通じて移送され、Railgunと呼ばれるプライバシープロトコルが利用されたが、プロトコル側のポリシーにより一部資金が差し戻されたと伝えられている。

この状況を早期に察知するうえで、大きな役割を果たしたのがzkLendの監視システムだ。通常のトランザクション動向から逸脱した挙動をリアルタイムで検知し、異常を通知する仕組みが備わっていたため、プラットフォーム側は比較的迅速に出金機能の停止やユーザー通知といった対策を講じることができたという。

Starknetのコア技術を開発するStarkWareは、今回の攻撃がネットワークの根幹に起因するものではなく、アプリケーション側の設定や実装面での問題であったと説明している。

zkLendの対応策と今後のセキュリティ強化

ハッキング発覚後、zkLendはさらなる流出を防ぐために出金機能を一時停止すると同時に、利用者に対して融資の預け入れや返済を控えるよう呼びかけた。
運営チームは、盗まれた資金を取り戻すためにハッカーへ90%の返還を求め、応じた場合は10%を報酬として認めると提案した。交渉期限を2025年2月14日と定めることで法的措置を回避する道を示しつつ、返還に応じなければセキュリティ企業や法執行機関と連携して追及を進める考えも明らかにしている。

一方で、監視システムの強化や定期的なセキュリティ監査の導入は既に視野に入れられているようだ。今後、CyversやBinance Securityなどの専門企業と協力しながら脆弱性の所在を特定し、必要な修正を段階的に実施する計画だとされる。
ユーザーに対しては透明性を確保した情報公開を行い、再発防止と信頼回復を優先事項に位置づける姿勢が打ち出されている。
被害総額が大きいだけに、ハッキング後の対応が成功すればセキュリティ面でのひとつの事例となり、業界全体の安全性向上につながるかもしれない。

※Starknet：ゼロ知識証明を活用するレイヤー2技術の一種であり、高速かつ低コストの取引を可能にする。Railgunは取引履歴を匿名化するプライバシープロトコルとして知られている。