Zksync Dex Merlin وفقًا لمراجعة الكود بأكثر من 1.8 مليون دولار

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — لقد فقدت البورصة اللامركزية (DEX) القائمة على Ethereum ، التي تستخدم صفر المعرفة Sync (Zksync) ، أكثر من 1.8 مليون دولار في مجموعة السيولة بعد أن قامت شركة أمن العقد الذكية بفحص رمزها. حدث الاختراق صباح الأربعاء خلال البيع العام لرمز ميرلين الأصلي ، مع المهاجم العديد من الأصول ، بما في ذلك الدولار الأمريكي ، القشط العملة المعدنية (USDC) ، الأثير (ETH) وغيرها من الرموز غير السائلة. Merlins LP بعد التدقيق الكود الفارغ بعد ساعات قليلة من الاستغلال ، قام Certik بتغريده بأنه فحص الحادث وعمل على فهم آثاره على المجتمع. أعلنت شركة الأمن أن نتائجها الأولى أشارت إلى ذلك ... (Symbolbild/KNAT)

لقد فقدت البورصة اللامركزية (DEX) Merlin استنادًا إلى Ethereum ، وقد خسرت صفر المعرفة Sync (Zksync) ، أكثر من 1.8 مليون دولار في مجموعة السيولة بعد أن قامت شركة أمن الشهادة الأمنية الذكية بالتحقق من رمزها.

حدث الاختراق صباح الأربعاء أثناء البيع العام لرمز Merlin الأصلي ، مع المهاجم العديد من الأصول ، بما في ذلك الدولار الأمريكي ، للتخلي عن العملة المعدنية (USDC) وغيرها من الأصول.

merlins LP وفقًا لمراجعة التعليمات البرمجية

بعد ساعات قليلة من الاستغلال لديه certik استغلال بعيدًا عن ذلك.

قال certik أن أحدث تقرير تدقيق لميرلين في قسم "جهود اللامركزية" أشار إلى خطر المركزية. أصرت الشركة على أن عمليات التدقيق لا يمكنها منع المفاتيح الخاصة ، ولكنها كفلت دائمًا تسليط الضوء على الممارسات الأفضل للمشاريع.

كما في تدقيق 24 أبريل 2023 ، أوصت certik بأن Merlin قامت بتحسين أدوارها المركزية لآلية لا مركزية مثل جدران التوقيع المتعدد لتحسين الممارسات الأمنية. كما طلبت الشركة الدقائق لتنفيذ وظيفة timelock مع زمن انتقال لا يقل عن 48 ساعة لتجنب خطأ في إدارة نقطة واحدة. وعدت Certik أيضًا بالعمل مع السلطات المسؤولة عند اكتشاف خطأ.

"نشجع جميع أفراد المجتمع على التحقق تمامًا من هذه المعلومات وجميع عمليات التدقيق. بينما نتقن هذا الموقف الصعب ، نود أن نؤكد لكم أن نتخذ جميع التدابير اللازمة لحماية مصالح مجتمعنا" ، كما قال Certik.

الكود الخبيث المعترف به

من المثير للاهتمام ezkalibur ، zksync dex و launchpad آخر ، الموافقة لنقل مبلغ غير محدود من الرموز من عنوان العقد.

📢 أجرينا بعض الأبحاث حول عقود Merlin الذكية وحددنا الرمز الخبيث المسؤول عن إزالة الأموال.

يمنح هذين خطين الكود في وظيفة التهيئة بشكل أساسي الموافقة على العنوان المطلوب ، وهو غير محدود (النوع (uint256) .max) ... -ezkalibur ∎ (@zkaliburdex) في هذه الأثناء ، فريق merlin external>