Децентрализованный Ethereum Exchange (DEX) Merlin, который использует Sync (ZKSYNC) с нулевым знанием (ZKSYNC), потеряла более 1,8 млн. Долл. США в рамках эксплойта ликвидности за несколько часов после того, как фирма Smart Contract Security Certik проверила его код.

Взлом произошел в среду утром во время публичной продажи местного токена Мерлина, Мага, а злоумышленник сифонировал несколько активов, включая монету доллара США (USDC), эфир (ETH) и другие неликвидные токены.

LP Merlin's осушил после аудита кода

Через несколько часов после эксплойта Certik написал в Твиттере, что он расследовал инцидент и работал над тем, чтобы понять его влияние на сообщество. Безопасная фирма сообщила, что ее первоначальные выводы предполагают, что проблема управления частными ключами могла привести к взлому, а не к эксплуатации, как широко считается.

Certik сказал, что он указал на риск централизации в недавнем аудиторском отчете для Мерлина в разделе «Усилия по децентрализации». Фирма настаивала на том, что, хотя аудиты не могли предотвратить личные ключевые проблемы, они всегда гарантировали, чтобы выделить лучшие практики для проектов.

Как утверждается в аудите от 24 апреля 2023 года, Certik рекомендовал Merlin улучшить свои централизованные роли до децентрализованного механизма, такого как кошельки для мульти-подписи для улучшения практики безопасности. Фирма также попросила протокол внедрить функцию TimeLock с задержкой не менее 48 часов, чтобы избежать единой точки сбоя управления ключами. Certik также пообещал работать с соответствующими властями, если будет обнаружено какая -либо нечестная игра.

«Мы призываем всех членов сообщества просмотреть эту информацию и все аудит в полной мере. Поскольку мы ориентируемся на эту сложную ситуацию, мы хотим заверить вас, что мы принимаем все необходимые меры для защиты интересов нашего сообщества», - сказал Certik.

Обнаружен злой код

Интересно, что Ezkalibur, еще один Zksync Dex и Launchpad, показал, что определил вредоносный код, который позволил хакерам истощать средства Merlin. DEX заявил, что обнаружил две строки кода в функции инициализации, которые дали одобрение адреса FEETO для передачи неограниченной суммы токенов с адреса договора.

📢 Мы провели некоторые исследования по смарт -контрактам Merlin, и мы определили вредоносный код, ответственный за истощение средств.

Эти две строки кода в функции инициализации по существу предоставляют одобрение адреса FOTE для передачи неограниченного (тип (Uint256) .max)… pic.Twitter.com/miksh4hkhb

- Ezkalibur ∎ (@zkaliburdex) 26 апреля 2023 г.

Тем временем команда Merlin попросила пользователей отозвать доступ к подключенному сайту на своих кошельках, поскольку они анализируют причину эксплойта.

Источник