DEX On ZkSync עידן נפרץ תמורת 1.82 מיליון דולר מיד לאחר ביקורת קוד

הועלה מחדש על ידי אפלטון

עוקב: 0

מרלין, DEX חדש בעידן zkSync, הפסידה 1.82 דולר עקב באג בחוזים החכמים שלה או ניהול שגוי של מפתח פרטי.
רק לפני יומיים, מרלין עבר את ביקורת הקוד של CertiK.
כמה ראיות מצביעות על עבודה פנימית של המפתחים האנונימיים של מרלין.

2023 הייתה אחת השנים הגרועות ביותר עבור חילופים מבוזרים מבחינת אירועי פריצה. פרויקטים מרובים של DeFi ב-blockchains שונים נוצלו תמורת מיליוני דולרים.

והמגמה נמשכת. ביום רביעי, א בורסה מבוזרת ב-zkSync Era נפרץ תמורת 1.82 מיליון דולר.

DEX ב-zkSync נפרץ תמורת 1.82 מיליון דולר

מרלין, בורסה מבוזרת חדשה על Ethereum שכבה-2 עידן zkSync, חווה ניצול יקר ביום רביעי. ההחלפה נפרץ תמורת 1.82 מיליון דולר.

הפריצה מעניינת במיוחד בגלל תזמון חשוד. מרלין קיבל ביקורת קוד ביום שני מ CertiK, אחד מבקרי החוזים החכמים המכובדים ביותר.

בביקורת, CertiK אמרה שהיא לא מצאה באגים פוטנציאליים שעלולים להוביל לניצול. עם זאת, החברה הזכירה בביקורת כי ישנם סיכוני ריכוזיות מסוימים הקשורים לאופן שבו מרלין מנהלת את המפתחות הפרטיים שלה.

בתגובה לאירוע, CertiK אמרה כי הניצול קשור ככל הנראה ל"בעיית ניהול מפתח פרטית" פוטנציאלית ולא ל"ניצול כגורם השורש".

"בעוד שביקורות אינן יכולות למנוע בעיות מפתח פרטיות, אנחנו תמיד מדגישים שיטות עבודה מומלצות לפרויקטים. אם יתגלה משחק פסול כלשהו, נעבוד עם הרשויות המתאימות ונשתף מידע רלוונטי. הישארו מעודכנים לעדכונים."

אנחנו חוקרים באופן פעיל את @TheMerlinDEX תַקרִית. ממצאים ראשוניים מצביעים על בעיה פוטנציאלית של ניהול מפתח פרטי ולא על ניצול כגורם השורש.

בעוד שביקורות אינן יכולות למנוע בעיות מפתח פרטיות, אנו תמיד מדגישים שיטות עבודה מומלצות לפרויקטים.

אם יש עבירה כלשהי…

— CertiK (@CertiK) אפריל 26, 2023

מרלין עצמה רק הודתה בתקרית וביקשה "לבטל את הגישה לאתר מחובר בארנקים שלך/הרשאת חתימה" אך עדיין לא הציעה פרטים נוספים.

הודעת מפתח 📢

האם כל אחד יכול לבטל את הרשאת הגישה לאתר מחובר בארנקים/חתימה שלך https://t.co/YRxH7IUU4T

אנו מנתחים את ניצול הפרוטוקול שלנו ונדגיש שכולם מבצעים את הצעד הזה כאמצעי זהירות.

עדכונים נוספים יסופקו

— מרלין (@TheMerlinDEX) אפריל 26, 2023

ויתכן שלא. חלק מהמשתמשים מציינים שהפריצה של מרלין בוצעה ככל הנראה על ידי מקורבים למרלין עקב באג שהושאר בכוונה ב- חוזים חכמים.

אגב, מרלין הוא שטיח של 100%,
הוא מאשר את uint256 max לכתובת feesto (פריסה) שמאפשרת לו להתרוקן

LP tokens can be withdrawn but liq can’t be removed for the same reason, there are no funds left in the pool

מקור: @overnight_fi חבר צוות pic.twitter.com/QyZJZwCrPx

— yieldfarming (@delucinator) אפריל 26, 2023

📢 עשינו מחקר על חוזים חכמים של מרלין וזיהינו את הקוד הזדוני שאחראי לניקוז הכספים.

שתי שורות קוד אלו בפונקציית האתחול מעניקות בעצם אישור ל-FeeTo-כתובת להעברת כתובת בלתי מוגבלת (type(uint256).max)... pic.twitter.com/mIksh4HkhB

— eZKalibur ∎ (@zkaliburDEX) אפריל 26, 2023

נוסף על כך, מרלין בדיוק החלה למכור בפומבי את האסימון שלה, MAGE. חלק מהמשתמשים גם ציינו שהמפתחים מאחורי מרלין הם אנונימיים.

על השפתיים

ייתכן שהפריצה אירעה בגלל ניהול לא נכון של מפתחות פרטיים. עם זאת, עדיין יש לראות זאת מכיוון שאין מידע חדש זמין כעת.

למה אתה צריך לדאוג

משתמשים שרוצים להשתמש בבורסות מבוזרות, במיוחד אלו שהושקו זה עתה, צריכים להיות זהירים במיוחד.

קרא עוד על פריצת טוויטר של KuCoin לאחרונה:

כיצד להישאר בטוחים לאחר פריצת הטוויטר של KuCoin

קרא עוד על התוכניות של ויזה עם קריפטו:

ויזה שוכרת מהנדסי תוכנה למפת הדרכים של מוצר קריפטו 'שאפתני'

הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
הטבעת העתיד עם אדריאן אשלי. גישה כאן.
מקור: https://dailycoin.com/dex-on-zksync-era-hacked-after-code-audit/

בול זמן: אפריל 26, 2023

בול זמן: דצמבר 22, 2022

הועלה מחדש על ידי אפלטון

פרוטוקול ההלוואות BonqDAO מפסיד 120 מיליון דולר להאקרים

Sotheby's משיקה NFT Marketplace חדש ב-Ethereum ו-Polygon

אנטולי יאקובנקו: מייסד סולנה

האם ביטקוין בבעיה? עמלות ספייק על מתקפת DoS פוטנציאלית

ה-Djed Stablecoin של Cardano יוצא לפרסום רשמי

"המשבר הפיננסי הבא יגיע ממטבעות קריפטו פרטיים" אומר נגיד הבנק המרכזי בהודו

אודות

חיפוש אנכי ו- Ai

פלטפורמה

שמור על קשר

חֶשְׁבּוֹן