DEX w erze ZkSync zhakowany za 1.82 mln USD zaraz po audycie kodu

Opublikowane ponownie przez Plato

Obserwuje: 0

Merlin, nowy DEX w erze zkSync, stracił 1.82 USD z powodu błędu w inteligentnych kontraktach lub złego zarządzania kluczem prywatnym.
Zaledwie dwa dni temu Merlin przeszedł audyt kodu firmy CertiK.
Niektóre dowody wskazują na wewnętrzną pracę anonimowych programistów Merlina.

Rok 2023 był jednym z najgorszych lat dla zdecentralizowanych giełd pod względem incydentów hakerskich. Wiele projektów DeFi na różnych łańcuchach bloków zostało wykorzystanych za miliony dolarów.

A trend jest kontynuowany. W środę A zdecentralizowana wymiana na zkSync Era został zhakowany za 1.82 miliona dolarów.

DEX na zkSync zhakowany za 1.82 miliona dolarów

Merlinie, nowa zdecentralizowana giełda włączona Ethereum Layer-2 zkSync Era doświadczył w środę kosztownego exploita. Wymiana został zhakowany za 1.82 milionów dolarów.

Hack jest szczególnie interesujący ze względu na podejrzany timing. Merlin otrzymał audyt kodu w poniedziałek od godz CertiK, jednego z najbardziej renomowanych audytorów inteligentnych kontraktów.

Podczas audytu firma CertiK stwierdziła, że nie znalazła potencjalnych błędów, które mogłyby prowadzić do exploitów. Jednak firma wspomniała w audycie, że istnieją pewne zagrożenia związane z centralizacją związane ze sposobem, w jaki Merlin zarządza swoimi kluczami prywatnymi.

Reagując na incydent, CertiK powiedział, że exploit jest najprawdopodobniej związany z potencjalnym „problemem z zarządzaniem kluczami prywatnymi”, a nie z „exploitem jako podstawową przyczyną”.

„Chociaż audyty nie mogą zapobiec problemom z kluczami prywatnymi, zawsze zwracamy uwagę na najlepsze praktyki w projektach. W przypadku wykrycia nieczystej gry będziemy współpracować z odpowiednimi władzami i udostępnimy odpowiednie informacje. Bądź na bieżąco z aktualizacjami”.

Aktywnie badamy sprawę @TheMerlinDEX incydent. Wstępne ustalenia wskazują na potencjalny problem z zarządzaniem kluczami prywatnymi, a nie na exploit jako pierwotną przyczynę.

Chociaż audyty nie mogą zapobiec problemom z kluczem prywatnym, zawsze zwracamy uwagę na najlepsze praktyki w projektach.

Czy w przypadku faulu…

— CertiK (@CertiK) 26 kwietnia 2023 r.

Sam Merlin tylko potwierdził incydent i poprosił o „cofnięcie dostępu do połączonej witryny w portfelach/pozwolenie na podpisywanie”, ale nie podał jeszcze żadnych szczegółów.

Ogłoszenie dewelopera 📢

Czy każdy może odwołać dostęp do połączonej witryny w swoich portfelach/pozwoleniu na podpisywanie https://t.co/YRxH7IUU4T

Analizujemy wykorzystanie naszego protokołu i podkreślamy, że każdy wykonuje ten krok jako środek ostrożności.

Więcej aktualizacji zostanie dostarczonych

— Merlin (@TheMerlinDEX) 26 kwietnia 2023 r.

I możliwe, że tak nie będzie. Niektórzy użytkownicy zwracają uwagę, że hack Merlin został prawdopodobnie przeprowadzony przez osoby z wewnątrz Merlin z powodu błędu celowo pominiętego w inteligentne kontrakty.

btw Merlin to w 100% dywan,
Zatwierdza uint256 max na adres feeto (wdrażający), co pozwala na jego wyczerpanie

Tokeny LP można wypłacić, ale liq nie można usunąć z tego samego powodu, w puli nie ma już środków

Źródło: @overnight_fi członek zespołu pic.twitter.com/QyZJZwCrPx

— plonowanie (@delucinator) 26 kwietnia 2023 r.

📢 Przeprowadziliśmy badania dotyczące inteligentnych kontraktów Merlin i zidentyfikowaliśmy złośliwy kod odpowiedzialny za drenaż środków.

Te dwa wiersze kodu w funkcji initialize zasadniczo zatwierdzają adres feeTo w celu przesłania nieograniczonego (type(uint256).max)… pic.twitter.com/mIksh4HkhB

— eZKalibur ∎ (@zkaliburDEX) 26 kwietnia 2023 r.

Co więcej, Merlin właśnie zaczął publicznie sprzedawać swój token, MAGE. Niektórzy użytkownicy zauważyli również, że twórcy Merlina są anonimowi.

Z drugiej strony

Możliwe, że włamanie nastąpiło z powodu uczciwego złego zarządzania kluczami prywatnymi. Jednak nadal nie jest to widoczne, ponieważ obecnie nie są dostępne żadne nowe informacje.