تم اختراق DEX On ZkSync Era مقابل 1.82 مليون دولار مباشرة بعد تدقيق الكود

أعاد نشره أفلاطون

المتابعون: 0

خسر Merlin ، وهو DEX جديد في عصر zkSync ، 1.82 دولار بسبب خطأ في عقودها الذكية أو سوء إدارة المفتاح الخاص.
قبل يومين فقط ، اجتاز ميرلين تدقيق كود CertiK.
تشير بعض الأدلة إلى وظيفة داخلية قام بها مطورو Merlin المجهولون.

كان عام 2023 من أسوأ سنوات التبادلات اللامركزية من حيث حوادث القرصنة. تم استغلال العديد من مشاريع DeFi على سلاسل الكتل المختلفة بملايين الدولارات.

والاتجاه مستمر. يوم الأربعاء ، أ التبادل اللامركزي تم اختراق موقع zkSync Era مقابل 1.82 مليون دولار.

تم اختراق DEX على zkSync مقابل 1.82 مليون دولار

Merlin ، بورصة لامركزية جديدة في إثيريم طبقة 2 zkSync Era ، واجه استغلال مكلف يوم الأربعاء. تبادل تم اختراقه مقابل 1.82 مليون دولار.

الاختراق مثير للاهتمام بشكل خاص بسبب التوقيت المشبوه. تلقى Merlin تدقيق رمز يوم الاثنين من CertiK، أحد أكثر مدققي العقود الأذكياء شهرة.

في المراجعة ، قالت CertiK إنها لم تجد أي أخطاء محتملة قد تؤدي إلى استغلال. ومع ذلك ، ذكرت الشركة في المراجعة أن هناك بعض مخاطر المركزية المتعلقة بكيفية إدارة Merlin لمفاتيحها الخاصة.

وردًا على الحادث ، قال CertiK إن الاستغلال على الأرجح مرتبط "بمشكلة إدارة المفتاح الخاص" المحتملة بدلاً من "الاستغلال باعتباره السبب الجذري".

"بينما لا يمكن أن تمنع عمليات التدقيق مشكلات المفتاح الخاص ، فإننا نسلط الضوء دائمًا على أفضل الممارسات للمشاريع. في حالة اكتشاف أي خطأ ، سنعمل مع السلطات المختصة ونشارك المعلومات ذات الصلة. ترقبوا التحديثات ".

نحن نحقق بنشاط في تضمين التغريدة حادثة. تشير النتائج الأولية إلى مشكلة محتملة تتعلق بإدارة المفتاح الخاص بدلاً من الاستغلال باعتباره السبب الجذري.

بينما لا يمكن أن تمنع عمليات التدقيق مشكلات المفتاح الخاص ، فإننا نسلط الضوء دائمًا على أفضل الممارسات للمشاريع.

يجب أي خطأ ...

- CertiK (CertiK) 26 نيسان

أقرت Merlin نفسها بالحادثة فقط وطلبت "إلغاء الوصول إلى الموقع المتصل من محافظك / إذن التوقيع" لكنها لم تقدم أي تفاصيل أخرى بعد.

إعلان المطور 📢

هل يمكن لأي شخص إبطال الوصول إلى الموقع المتصل من محافظك / إذن التوقيع https://t.co/YRxH7IUU4T

نحن نحلل استغلال بروتوكولنا ونؤكد أن الجميع ينفذ هذه الخطوة كإجراء احترازي.

سيتم توفير المزيد من التحديثات

- ميرلين (TheMerlinDEX) 26 نيسان

ومن الممكن ألا يحدث ذلك. يشير بعض المستخدمين إلى أن اختراق Merlin قد تم تنفيذه على الأرجح بواسطة المطلعين على Merlin بسبب خلل تم تركه عن قصد في العقود الذكية.

راجع للشغل Merlin سجادة 100٪ ،
وهي توافق على uint256 max إلى عنوان feesto (الناشر) مما يسمح لها بالتجفيف

يمكن سحب الرموز LP ولكن لا يمكن إزالة liq للسبب نفسه ، فلا توجد أموال متبقية في المجمع

المصدر تضمين التغريدة أعضاء الفريق pic.twitter.com/QyZJZwCrPx

- غلة فارمينغ (delucinator) 26 نيسان

📢 قمنا ببعض الأبحاث حول عقود Merlin الذكية وحددنا الشفرة الخبيثة المسؤولة عن استنزاف الأموال.

يمنح هذان السطران من التعليمات البرمجية في وظيفة التهيئة بشكل أساسي الموافقة على العنوان لنقل عدد غير محدود (نوع (uint256) .max) ... pic.twitter.com/mIksh4HkhB

- eZKalibur ∎ (zkaliburDEX) 26 نيسان

علاوة على ذلك ، كانت Merlin قد بدأت للتو في بيع رمزها المميز ، MAGE. أشار بعض المستخدمين أيضًا إلى أن المطورين الذين يقفون وراء Merlin مجهولون.

في الجهه المقلوبه

من المحتمل أن يكون الاختراق قد حدث بسبب سوء الإدارة الصادقة للمفاتيح الخاصة. ومع ذلك ، لا يزال يتعين النظر إلى هذا حيث لا توجد معلومات جديدة متاحة حاليًا.