WebX完全ガイド
TOP 新着一覧 取引所 WebX
CoinPostで今最も読まれています

Zksync上の分散型取引所Merlin、約2.5億円の不正流出 ラグプル疑惑も

画像はShutterstockのライセンス許諾により使用

Merlinの不正流出

分散型取引所Merlinがハッキングされ、約2.5億円(182万ドル)以上の資金が盗まれたことが26日にわかった。Merlinは暗号資産(仮想通貨)イーサリアム(ETH)のL2プロジェクト「zkSync」上のプロトコルの一つだ。

スマートコントラクトに資金をロックアップする流動性プール(LP)がターゲットとなった。ハッカーはLPから盗んだ資金すべてを、イーサリアム・チェーンにブリッジ(橋渡し)したとされる。

Merlinは26日0時(日本時間)に独自トークンMAGEの公開セールを開始したばかり。Merlinは「流動性生成イベント(LGE)」として、参加者からETHの流動性提供を得て、MAGEを割り当てる計画だった。この公開セールに参加する投資家には、プロジェクトの配当等を得る「エスクロートークン(stMAGE)」のボーナスエアドロップの特典が設けられていた。

また、プロジェクトチームは15日と25日のブログで、セキュリティを最優先し、全てのスマートコントラクトに対してセキュリティ企業Certikによる完全な監査を実施した上でセールに臨むことを強調していた。

OxScopeの創設者である0xBobieによると、盗まれた資金は2つのウォレット(a,b)にあることが確認された。ブロックチェーンセキュリティ企業PeckShieldは、片方のアカウント「0x2744…9b7」が約1億円相当(85万ドル)の USDCoin(USDC)をイーサリアム(ETH)チェーンにブリッジ(橋渡し)したことを確認している。

関連:イーサリアムL2「zkSync」、閉じ込められた約2.3億円のETHを回収へ

監査完了後のハッキング

ツイッター上では、Merlinで起きた件が「ラグプル(出口詐欺)」であるとの見方が広がっている。あるユーザーはスマートコントラクトに基づいて、Merlinが攻撃者のアドレスに対して無制限承認(type(uint256).max)を与えてしまったために、プールから資金が不正に引き出される問題が生じたと主張している。

また、禅(Xen)氏はMerlinとZkSyncのTelegramグループの会話(彼がアドバイザリー役として関わった)の画像を投稿。Merlinプロジェクトのチームがこれらの仕組みについて把握しておらず、不正流出の事態が発生して困惑している様子が示されていることから、創設者による単独行動であると推測した。

出典:Certik

Certikは24日にMerlinの監査結果を公開。「特定の状況下で、資金やプロジェクトの管理が失われる可能性がある」メジャーなリスクを指摘してはいるが、ステータスは“Resolved(解決済み)”となっている。「無制限承認」の悪用を検出していたのかは不明だが、監査後のハッキング被害の発生により、仮想通貨コミュニティの間で疑念が高まっている。26日に公開されたCertikのGu RonghuiCEOへのインタビューによると、同社は仮想通貨セキュリティ市場で70%シェアを獲得している。

zkSyncとは

zkSyncは、イーサリアムの仮想マシン(EVM)と互換性を持つ「zkEVM」に分類されるL2ソリューション。ゼロ知識証明を導入したロールアップ技術「ZKロールアップ」を活用している。

関連:DeFiの1inch、イーサリアムL2「zkSync Era」にプロトコルをデプロイ

CoinPost App DL
厳選・注目記事
注目・速報 市況・解説 動画解説 新着一覧
07/09 木曜日
13:20
トランプ一族WLFI関連企業AIファイナンシャル、中核事業売却で交渉中=報道
トランプ一族WLFI関連のナスダック上場企業AIファイナンシャルが、決済子会社の売却で東京拠点のPerpetuals.comと交渉中だ。WSJが報道した。
11:40
AIエージェントの円建て自律決済、国内企業が技術検証完了
外貨両替サービスのエクスチェンジャーズが、AIエージェント向け決済プロトコル「x402」を用い、日本円電子マネー(XJPY)での自律決済フローの完結を公表。KYC済みウォレット・ガスレスを一体提供するx402実装は国内初と発表した。
11:10
グーグルクローム、予測市場の実マネー取引拡張機能を禁止 8月から
グーグルクロームはクロームウェブストアのポリシーを改定し、実マネーを用いた予測市場向け拡張機能を禁止製品に指定した。データ収集規制の強化とAI安全機能の回避ツール禁止も同時に導入され8月1日から施行される。
10:05
米民主党議員、クラリティー法の開発者保護条項維持を上院幹部に要請
米上院民主党議員が書簡を送り、仮想通貨市場構造法「クラリティー法」に非カストディアル型ブロックチェーン開発者の保護規定であるBRCA条項を維持するよう上院幹部に求めた。
09:40
ビットコインの局面転換に必要な条件は? 5か月間「ディープ・バリュー」続く=グラスノード
グラスノードが仮想通貨週間レポートを発表。ビットコインは投資家の平均取得価格を下回る「ディープバリュー」局面が5か月継続中だ。長期保有者の売却が主な下落圧力となっている。
08:40
クラウドフレア、ステーブルコイン活用の新機能提供へ
クラウドフレアが、新機能Monetization Gatewayの利用者を募集。これは主にAIエージェントの普及に備えた機能で、x402を使い、最初にステーブルコインを決済に活用する。
07:40
ロシア、仮想通貨規制法案を修正可決 ウォレット申告義務を撤廃
ロシア議会下院の金融市場委員会が8日、仮想通貨規制法案の修正版を第2読会向けに承認した。ウォレットアドレスの申告義務を撤廃し、残高・取引量の開示のみに変更。非適格投資家の年間購入上限は30万ルーブルに設定される。
07:22
WIZE、ソラナ追加取得で累計9億円 世界で11位に
株式会社WIZEは7月7日、ソラナを約1億円分追加取得し、累計取得額が約9億円規模に達した。コインゲッコーのランキングで世界第11位に躍進し、トップ10入りが目前に。
06:45
アルゼンチンがW杯ベスト8進出、ARGファントークンが一時12%急騰
2026年FIFAワールドカップでリオネル・メッシ選手が8ゴールを記録し得点首位に立つ中、チリーズ上のアルゼンチン代表ファントークン(ARG)が最大12.4%急騰した。直近7日間では26.7%下落しており、2022年W杯時の最高値からは98%安の水準にある。
06:10
リップル、カンザス大学と提携 XRPが大学ユニフォームに初採用
リップルが8日、米カンザス大学アスレティクスとの複数年スポンサー契約を発表した。XRPが大学ユニフォームに採用される初の仮想通貨銘柄となった。
05:45
インド中央銀行が仮想通貨「禁止寄り」方針を再主張、銀行の保有禁止求める
インドの中央銀行インド準備銀行が仮想通貨の禁止方針を再主張し、銀行の保有・取引禁止を要求した。税務当局も海外取引所経由の課税逃れリスクを警告しており、政府内で規制強化を求める動きが強まっている。
05:00
BNBチェーン、AIエージェント取引に特化した新L1ブロックチェーンを開発
BNBチェーンがAIエージェント取引向けの新L1ブロックチェーンを開発中と明らかにした。取引確認を50ミリ秒未満に短縮し、中央集権型取引所並みの執行環境をオンチェーンで実現する設計を目指す。
07/08 水曜日
18:08
セイラー会長、ビットコイン年3.3%超上昇ならSTRC配当永久化と試算
ストラテジーのセイラー会長が試算を公表した。ビットコインが年率3.3%を超えて上昇すれば、その売却益だけで優先株STRCの配当を無期限に賄えるとする内容で、資本構成が変わらないことを前提として示された。
17:30
南アフリカ歳入庁、仮想通貨売却・交換に課税明記の指針案
南アフリカ歳入庁(SARS)が仮想通貨の税務指針草案を公表した。売却や交換、決済利用を「処分」とみなし所得税や譲渡益課税の対象となり得ると説明。新税の導入ではなく既存法の解釈明確化と位置づけ、8月31日まで意見公募を行う。
14:05
「USDT対USDC」構図に変化、決済はUSDT DeFiはUSDCが優勢に=Dune分析
Duneの最新レポートで、USDTとUSDCの役割分化が鮮明になった。決済分野はUSDTが圧倒的シェアを握る一方、DeFiエコシステムではUSDCが優勢となっている。一方、Visaのオンチェーン分析では取引量におけるUSDCの優位性が明らかになった。
今から始める仮想通貨特集
通貨データ
重要指標
一覧
新着指標
一覧