DEX en zkSync Era pirateado por $ 1.82 millones justo después de la auditoría de código

DEX en zkSync Era pirateado por $ 1.82 millones justo después de la auditoría de código

Sello de tiempo: 26 de abril de 2023 5:35 a. M.
Nodo de origen: 2609723
  • Merlin, un nuevo DEX en zkSync Era, perdió $ 1.82 debido a un error en sus contratos inteligentes o una mala gestión de la clave privada.
  • Hace solo dos días, Merlin pasó la auditoría de código de CertiK.
  • Algunas pruebas apuntan a un trabajo interno de los desarrolladores anónimos de Merlin.

2023 ha sido uno de los peores años para los intercambios descentralizados en términos de incidentes de piratería. Se han explotado múltiples proyectos DeFi en varias cadenas de bloques por millones de dólares.

Y la tendencia continúa. El miércoles, un intercambio descentralizado en zkSync Era fue pirateado por $ 1.82 millones.

DEX en zkSync pirateado por $ 1.82 millones

Merlin, un nuevo intercambio descentralizado en Ethereum Layer-2 zkSync Era, experimentó una explotación costosa el miércoles. El intercambio fue pirateado por $ 1.82 millones.

El truco es especialmente interesante debido a la sincronización sospechosa. Merlin recibió una auditoría de código el lunes de CertiK, uno de los auditores de contratos inteligentes de mayor reputación.

En la auditoría, CertiK dijo que no encontró errores potenciales que puedan conducir a exploits. Sin embargo, la firma mencionó en la auditoría que existen ciertos riesgos de centralización relacionados con la forma en que Merlin administra sus claves privadas.

En reacción al incidente, CertiK dijo que lo más probable es que el exploit esté relacionado con un posible "problema de administración de claves privadas" en lugar de un "exploit como causa raíz".

“Si bien las auditorías no pueden evitar problemas de claves privadas, siempre destacamos las mejores prácticas para los proyectos. Si se descubre algún juego sucio, trabajaremos con las autoridades correspondientes y compartiremos información relevante. Estén atentos a las actualizaciones”.

Merlin solo reconoció el incidente y solicitó "revocar el acceso al sitio conectado en sus billeteras/permiso de firma", pero aún no ha ofrecido más detalles.

Y es posible que no lo haga. Algunos usuarios señalan que el hack de Merlin probablemente fue realizado por miembros de Merlin debido a un error que se omitió intencionalmente en el contratos inteligentes.

Además de eso, Merlin acababa de comenzar a vender públicamente su token, MAGE. Algunos usuarios también han señalado que los desarrolladores detrás de Merlin son anónimos.

En la otra cara

  • Es posible que el hack haya ocurrido debido a una mala gestión honesta de las claves privadas. Sin embargo, esto aún está por verse ya que actualmente no hay nueva información disponible.

Por qué deberías preocuparte

Los usuarios que quieran utilizar intercambios descentralizados, especialmente los que acaban de lanzarse, deben tener mucho cuidado. 

Lea más sobre un reciente hack de Twitter de KuCoin:

Cómo mantenerse a salvo después del hackeo de Twitter de KuCoin

Lea más sobre los planes de Visa con criptomonedas:

Visa está contratando ingenieros de software para la hoja de ruta de productos criptográficos 'ambiciosos'

Sello de tiempo:

Mas de moneda diaria