이더리움 레이어2 확장 솔루션인 제트케이싱크(ZKsync)가 4월 15일 발생한 해킹 사고로 약 500만 달러(약 73억 원) 규모의 에어드롭 토큰을 탈취당한 사실을 공식 확인했다. 프로젝트 측은 이번 공격이 단일 관리자 계정의 보안 취약점에서 발생했으며, 사용자 자금은 영향을 받지 않았다고 강조했다.
ZKsync는 공식 X 계정을 통해 해당 사고의 세부 내용을 공유했다. 해커는 당시 에어드롭 배포를 관리하는 스마트계약 3개에 대한 관리자 권한을 탈취해 'sweepUnclaimed()' 함수의 취약점을 악용, 청구되지 않은 ZK 토큰 1억 1,100만 개를 신규 발행했다. 이로 인해 전체 발행량은 0.45% 증가했다. ZKsync 측은 공격이 발생한 당일 추가 피해를 차단하고 보안팀과 함께 대응에 착수했다고 밝혔다.
이번 공격은 ZK 토큰의 시장에도 영향을 미쳤다. 해킹 소식이 퍼진 이후 ZK 토큰 가격은 장중 한때 16% 급락하며 0.040달러까지 내려갔다가 부분적으로 반등해 0.047달러 선을 회복했다. 그러나 하루 전과 비교하면 여전히 약 7% 하락한 상태다.
ZKsync는 보안 연합인 SEAL(Security Alliance)과 협력해 도난 자산 회수 작업을 진행 중이다. 프로토콜 측은 핵심 거버넌스 시스템과 토큰 계약은 영향을 받지 않았으며, 문제가 된 함수 경로를 통한 추가 공격은 더 이상 불가능하다고 덧붙였다.
이번 사건은 2025년 1분기 암호화폐 분야에서 발생한 해킹 피해 규모가 총 20억 달러(약 2조 9,200억 원)에 달하는 가운데 발생한 것으로, 2024년 연간 피해 규모보다 불과 3억 달러 적은 수준이다. 높은 수익성과 빈약한 보안 체계를 노린 해커들의 공격이 지속되는 가운데, 프로젝트 운영 주체들의 보안 강화 조치가 어느 때보다 절실해지고 있다.
한편, ZKsync는 전체 ZK 토큰 공급량의 17.5%에 해당하는 물량을 커뮤니티에 에어드롭하고 있으며, 사건 당시 기준으로 ZKsync 에라 플랫폼에는 약 5,730만 달러(약 837억 원)가 락업돼 있는 상태였다.