Zksync Dex Merlin podle auditu kódu za více než 1,8 milionu USD

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — Decentralizovaná burza cenných papírů (DEX) založená na Ethereum, která používá nulové znalosti-sync (ZkSync), ztratila více než 1,8 milionu dolarů ve využívání fondu likvidity poté, co společnost Inteligentní smluvní bezpečnostní společnost Certik zkontrolovala svůj kód. Hack se stal ve středu ráno během veřejného prodeje nativního tokenu Merlina, s útočníkem několik aktiv, včetně USD, Skimmed Coin (USDC), Etheru (ETH) a dalších nelikvidních žetonů. Merlins LP Po auditu kódu prázdné několik hodin po vykořisťování Certik tweetoval, že incident prozkoumal a pracoval na pochopení jeho účinků na komunitu. Bezpečnostní společnost oznámila, že jejich první výsledky to naznačily ... (Symbolbild/KNAT)

Decentralizovaná burza cenných papírů (DEX) Merlin Na základě Ethereum, použitá nulová znalost-synchronizace (ZkSync), ztratila více než 1,8 milionu dolarů v likviditním bazénu po využívání likvidity po využití po inteligentní rekodrční bezpečnostní společnosti Certik.

Hack se vyskytl ve středu ráno během veřejného prodeje Merlinova nativního tokenu, přičemž útočník několik aktiv, včetně USD, k odstředění mincí (USDC) a dalších nelikvid.

Merlins LP podle auditu kódu

Několik hodin po exploitu má certik Že to prozkoumal incident a pracoval na pochopení jeho účinků na komunitu. Bezpečnostní společnost oznámila, že její první výsledky naznačily, že problém s správou soukromých klíčů by mohl vést k hacku a ne vykořisťovatel až od něj.

Certik uvedl, že nejnovější zpráva o auditu pro Merlin v části „Decentralizační úsilí“ poukázala na riziko centralizace. Společnost trvala na tom, aby audity nemohly zabránit soukromým klíčům, ale vždy zajistily, že pro projekty byly zvýrazněny lepší postupy.

jako v auditu 24. dubna 2023, Certik doporučil, aby Merlin zlepšil své centralizované role na decentralizovaný mechanismus, jako jsou stěny více podepsání, aby se zlepšily bezpečnostní postupy. Společnost také požádala o zápisy o implementaci funkce TimeLock s latencí nejméně 48 hodin, aby se zabránilo jednorázové chybě správy klíčů. Certik také slíbil, že bude spolupracovat s odpovědnými úřady, když bude objevena chyba.

"Vybízíme všechny členy komunity, aby tyto informace a všechny audity kompletně zkontrolovali. I když tuto náročnou situaci zvládneme, rádi bychom vás ujistili, že přijímáme všechna nezbytná opatření k ochraně zájmů naší komunity," řekl Certik.

maligní kód rozpoznaný

zajímavě ezkalibur, další zksync dex a launchpad, "Spans =" Spans = "Spans =" Spans = "SpanS =" "" "" odhalil Identifikoval maligní kód, který hackerům umožnil sklouznout Merlinovy peníze. Dex uvedl, že našel dva kódové řádky ve funkci inicializace, která poskytla adresu FETO schválení , aby přenesl neomezené množství tokenů z adresy smlouvy.

📢 Provedli jsme nějaký výzkum Merlin Smart Contracts a identifikovali zhoubný kód, který je odpovědný za odstranění prostředků.

These two code lines in the initialization function essentially grant the approval for the desired address, an unlimited (type (uint256) .max) ... pic.twitter.com/miksh4hkhb

-ezkalibur ∎ (@ZKaliburDex)

Mezitím tým Merlin .