zkSync $ZKエアドロップ騒動：37.5億トークンの配布と4月のセキュリティ脆弱性の内幕

空投規模と参加ハードル

zkSyncは2025年に開始される$ZKエアドロップで、総供給量の17.5%、約37.5億枚のトークンを割り当てました。しかし、この「饗宴」は誰でも参加できるわけではありません――Matter Labsはかなり厳しい参加条件を設けています。

3月24日のスナップショットによると、69.5万のウォレットだけがエアドロップ資格を満たしました。具体的な要件は以下の通りです：

• zkSync Eraで少なくとも10個の非トークン系スマートコントラクトとインタラクション
• paymasterを使って最低5回の取引を完了
• DEXで少なくとも10種類の異なるERC-20トークンを取引
• DeFiプロトコルに流動性を提供
• Libertas Omnibus NFTを保有

言い換えれば、これは実ユーザーへの報酬であり、エアドロップ狙いの「空中族」向けではありません。

クレーム期間と手順

6月17日から1月3日まで、条件を満たしたアドレスはclaim.zknation.io公式ポータルを通じてトークンを受け取ることができます。全体のプロセスはウォレット接続、アドレス認証、投票権のデリゲート、トランザクション確認の4ステップです。一見簡単ですが、背後には重大なリスクが潜んでいます。

4月のセキュリティ崩壊：1.11億トークン盗難

順風満帆とはいきません。4月、zkSyncエアドロップコントラクトが重大なセキュリティ脆弱性に遭遇しました。攻撃者は突破された管理者キーを利用し、sweepUnclaimed()関数を通じて約1.11億枚の未請求$ZKトークン（約500万ドル相当）を不正に鋳造しました。

これは「巧妙」なフラッシュローン攻撃などではなく、あからさまなバックドアの悪用――管理者権限の崩壊による直接的な結果でした。

市場の反応

ニュースが広まると$ZK価格は15～20%急落。市場ムードは「Layer 2のスター」から一気に「セキュリティリスク」へと変化しました。しかし幸いなことに、脆弱性はエアドロップコントラクト層に厳密に限定されており、zkSyncメインプロトコルやユーザー資金には影響がありませんでした。

今後の考察

今回の事件は2つの核心的な問題を浮き彫りにしました：

1. 権限管理の脆弱性 ― トッププロジェクトであっても、adminキーのセキュリティ対策に明らかな弱点が存在
2. エアドロップ設計の複雑性 ― 参加ハードルが高いほど、コントラクトロジックが複雑化し、リスク範囲が拡大

それでも、zkSyncはLayer 2エコシステムの重要な参加者として、長期的な成長路線は変わりません。エアドロップは問題を露呈させたものの、大規模なユーザー分散とエコシステム参加を促進した――今後、セキュリティ対策が適切に進めば問題はありません。