zkLend、甚大なハッキング被害と主要取引所からのZEND上場廃止を受けサービス停止

zkLendがサービスの停止を発表

zkLendは、セキュリティ脆弱性攻撃と、BybitおよびKuCoinからのZENDトークン上場廃止を受け、サービス停止を発表した。

Dear zkLend Community,

It is with a heavy heart that we announce our decision to wind down zkLend.

This decision was not made lightly. Over recent months, the exploit we suffered has deeply eroded user confidence, and furthermore, the recent removal of ZEND from major exchanges…

— zkLend (@zkLend) June 25, 2025

イーサリアムの人気レイヤー2スケーリングソリューションStarknetベースのzkLendは、残りの20万ドル（約2,800万円）の資金を、マネーマーケットの再開や開発の継続ではなく、影響を受けたユーザーへの支援に充当。さらに、コードベースについては、オープンソース化するという。

プロトコルは、ユーザーがステーク解除や資金請求ができるよう、DeFi Spring、リカバリ、kSTRKポータルを維持する。チームは引き続きブロックチェーンフォレンジック企業zeroShadowと連携し、失われた資金の追跡をし、回収された資金はユーザーリカバリ基金に送金される事がすでに決まっている。zkLendはまた、今後数週間以内に監査および更新済みのコードベースをオープンソース化し、関係者が開発を継続できるようにする予定で、同チームは次のように述べている。

私たちは引き続きオンライン状態を維持し、あらゆる手段を講じて盗難資金の回収に尽力します。Starknetの設立当初からその歩みに携わり、その成長と進化を目の当たりにできたことを誇りに思います。

zkLendはハッキングから回復できていない

この脆弱性攻撃とその後の騒動は、zkLendのZENDトークンへの信頼に深刻な影響を与えており、大手仮想通貨取引所Bybit（バイビット）とKuCoin（クーコイン）はZENDを上場廃止し、取引量を大幅に減少させた。

2023年後半にStartknetメインネットで正式にローンチされたzkLendは、利回り最適化された「マネーマーケット」を通じて、Starknet上で非管理型貸借を提供することを目指していた。その約束は、高スループットと低ガス料金を実現するゼロ知識証明にかかっていた。

しかし2025年2月11日、攻撃者がフラッシュローンとzkLendの貸付アキュムレーターの脆弱性を悪用し、当時約950万ドルを窃取。zkLendの事後分析では、この脆弱性を利用して攻撃者がプロトコルの状態を水増しし、次々と預金を流出させた経緯が詳細に説明されている。

ハッカーは資金がすべて奪われたと主張

zkLendは、残りの資金を安全に返還する見返りに、攻撃者に10%の報奨金を提示したものの、その後、予想外の展開が訪れている。

3月31日、攻撃者はzkLendに価値ゼロのオンチェーンメッセージを送信し、盗んだ資金のうち2,930ETHをトルネードキャッシュを装ったフィッシングサイトに盗まれたと主張。Etherscanに記録されたメモの中で、ハッカーは次のように嘆いている。

トルネードキャッシュに資金を移動しようとしたのですが、フィッシングサイトを使ってしまい、資金がすべて失われてしまいました。大変な混乱と損失を引き起こしてしまい、大変申し訳ございません。

調査員の多くがハッカーの主張を信じておらず、オンチェーン分析の結果、このトランザクションはトルネードキャッシュにアクセスする際、より怪しいルートを使用していたことが判明。ハッカーは盗んだ資金の移動にイーサリアムのバニティアドレスを使用しており、トルネードキャッシュの偽装サイトに直接送金されたわけではない。また、ハッカーが資金を盗んだフィッシングサイトについて言及しなかったことも、さらなる懸念を引き起こしている。

今後、影響を受けたユーザーは、zeroShadowのフォレンジックの進展状況を注視していくことになる。また、zkLend の監査済み契約の今後のオープンソースリリースにより、チームの教訓を取り入れたフォークや新しいプロジェクトが生まれる可能性がある。