DEX On ZkSync Era Hacked For $1.82M Right After Code Audit

افلاطون کے ذریعہ دوبارہ شائع کیا گیا۔

فالونگ: 0

Merlin, a new DEX on zkSync Era, lost $1.82 due to a bug in its smart contracts or private key mismanagement.
Just two days ago, Merlin passed CertiK’s code audit.
Some evidence points to an inside job by Merlin’s anonymous developers.

2023 has been one of the worst years for decentralized exchanges in terms of hacking incidents. Multiple DeFi projects on various blockchains have been exploited for millions of dollars.

And the trend is continuing. On Wednesday, a مہذب تبادلہ on zkSync Era got hacked for $1.82 million.

DEX on zkSync Hacked for $1.82 Million

Merlin, a new decentralized exchange on ایتھرم پرت -2 zkSync Era, experienced a costly exploit on Wednesday. The exchange $1.82 ملین میں ہیک کیا گیا تھا۔.

The hack is especially interesting because of suspicious timing. Merlin received a code audit on Monday from تصدیق نامہ, one of the most reputable smart contract auditors.

In the audit, CertiK said it found no potential bugs that may lead to exploits. However, the firm did mention in the audit that there are certain centralization risks related to how Merlin is managing its private keys.

Reacting to the incident, CertiK said that the exploit is most likely related to a potential “private key management issue” rather than an “exploit as the root-cause.”

“While audits cannot prevent private key issues, we always highlight best practices to projects. Should any foul play be discovered, we will work with the appropriate authorities and share relevant info. Stay tuned for updates.”

ہم سرگرمی سے تحقیقات کر رہے ہیں۔ @TheMerlinDEX واقعہ ابتدائی نتائج بنیادی وجہ کے طور پر استحصال کے بجائے ایک ممکنہ نجی کلیدی انتظامی مسئلے کی طرف اشارہ کرتے ہیں۔

اگرچہ آڈٹ نجی کلیدی مسائل کو نہیں روک سکتے، ہم ہمیشہ منصوبوں کے لیے بہترین طریقوں کو نمایاں کرتے ہیں۔

کیا کوئی فضول…

— CertiK (@CertiK) اپریل 26، 2023

Merlin itself has only acknowledged the incident and asked to “revoke connected site access on your wallets/sign permission” but hasn’t yet offered any more details.

ڈویلپر کا اعلان 📢

کیا ہر کوئی آپ کے بٹوے/سائن کی اجازت پر منسلک سائٹ تک رسائی کو منسوخ کر سکتا ہے۔ https://t.co/YRxH7IUU4T

ہم اپنے پروٹوکول کے استحصال کا تجزیہ کر رہے ہیں اور اس بات پر زور دیں گے کہ ہر کوئی احتیاط کے طور پر یہ قدم اٹھائے۔

مزید اپڈیٹس فراہم کی جائیں گی۔

— مرلن (@TheMerlinDEX) اپریل 26، 2023

And it’s possible that it won’t. Some users are pointing out that the Merlin hack was likely carried out by Merlin insiders due to a bug left out intentionally in the سمارٹ معاہدے.

btw Merlin is a 100% rug,
It approves uint256 max to feesto address (deployer) which let it get drained

LP tokens can be withdrawn but liq can’t be removed for the same reason, there are no funds left in the pool

ماخذ: @overnight_fi ٹیم کے رکن pic.twitter.com/QyZJZwCrPx

— yieldfarming (@delucinator) اپریل 26، 2023

📢 ہم نے مرلن سمارٹ معاہدوں پر کچھ تحقیق کی اور ہم نے فنڈز کی کمی کے لیے ذمہ دار بدنیتی پر مبنی کوڈ کی نشاندہی کی۔

انیشیلائز فنکشن میں کوڈ کی یہ دو سطریں بنیادی طور پر فیس ٹو ایڈریس کو لامحدود (قسم(uint256).max) منتقل کرنے کے لیے منظوری دے رہی ہیں۔ pic.twitter.com/mIksh4HkhB

— eZKalibur ∎ (@zkaliburDEX) اپریل 26، 2023

On top of that, Merlin had just begun publicly selling its token, MAGE. Some users have also pointed out that the developers behind Merlin are anonymous.

دوسری طرف

It’s possible that the hack happened because of honest mismanagement of private keys. However, this is still to be seen as no new information is currently available.