Zksync Dex Merlin според одит на кода за над 1,8 милиона долара

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — Децентрализираната фондова борса (DEX), базирана на Ethereum, която използва нулево знание-Sync (ZkSync), е загубила повече от 1,8 милиона долара при експлоатация на пулове за ликвидност, след като компанията за сигурност на интелигентния договор Certik провери кода си. Хакът се случи в сряда сутринта по време на публичната продажба на родния жетон на Мерлин, като нападателят няколко актива, включително USD, Skimmed Coin (USDC), Ether (ETH) и други неликвидни жетони. Merlins LP след одит на кода се изпразни няколко часа след експлоатацията, Certik туитира, че изследва инцидента и работи върху разбирането на неговите ефекти върху общността. Компанията за сигурност обяви, че първите им резултати показват това ... (Symbolbild/KNAT)

Децентрализираната фондова борса (DEX) Merlin, базирана на Ethereum, използваната нулева знания (ZkSync), е загубила повече от 1,8 милиона долара при експлоатация на пулове за ликвидност, след като компанията за сигурност на интелигентния договор Certik е проверил кода си.

хакът се случи в сряда сутринта по време на публичната продажба на родния жетон на Merlin, като нападателят няколко актива, включително USD, за да прехвърли монетата (USDC) и други неликвиди.

Merlins LP съгласно одит на код

Няколко часа след експлоатацията има certik че той изследва инцидента и работи върху разбирането на нейните ефекти върху общността. Компанията за сигурност обяви, че първите му резултати показват, че проблем с администрирането на частни ключове може да доведе до хак, а не експлоатация , колкото далеч от него.

certik каза, че последният одитен доклад за Мерлин в раздела "Усилията за децентрализация" посочи риска от централизация. Компанията настояваше, че одитите не могат да предотвратят частни ключове, но винаги са гарантирали, че са подчертани по -добри практики за проекти.

Както при одита от 24 април 2023 г., certik препоръча Мерлин да подобри централизираните си роли до децентрализиран механизъм, като например много подписи, за да подобри практиките за сигурност. Компанията също поиска протоколите за изпълнение на функция на TimeLock с латентност от поне 48 часа, за да избегнат грешка в управлението на едно място. Certik също обеща да работи с отговорните органи, когато бъде открит фаул.

"Насърчаваме всички членове на общността да проверят напълно тази информация и всички одити. Докато овладяваме тази предизвикателна ситуация, бихме искали да ви уверим, че предприемаме всички необходими мерки за защита на интересите на нашата общност", каза Certik.

злокачествен код, признат

Интересно е Ezkalibur, друг Zksync Dex и LaunchPad, одобрение за прехвърляне на неограничено количество токени от адреса на договора.

📢 Извършихме някои изследвания на интелигентните договори на Merlin и идентифицирахме злокачествения код, който е отговорен за премахването на средствата.

Тези два кодови реда в функцията за инициализация по същество дават одобрението за желания адрес, неограничен (тип (uint256) .max) ... pic.twitter.com.com/miksh4hkhbhb -ezkalibur ∎ (@zkaliburdex)

Междувременно екипът на Мерлин .