Zksync Dex Merlin σύμφωνα με τον έλεγχο κώδικα για πάνω από 1,8 εκατομμύρια δολάρια

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — Το αποκεντρωμένο Χρηματιστήριο (DEX) με βάση το Ethereum, το οποίο χρησιμοποιεί τη μηδενική γνώση-Sync (ZKSync), έχει χάσει περισσότερα από 1,8 εκατομμύρια δολάρια σε εκμετάλλευση πισίνας ρευστότητας, αφού η εταιρεία Smart Contract Security Certik είχε ελέγξει τον κώδικα του. Το hack συνέβη το πρωί της Τετάρτης κατά τη διάρκεια της δημόσιας πώλησης του εγγενούς συμβολαίου του Merlin, με τον επιτιθέμενο διάφορα περιουσιακά στοιχεία, συμπεριλαμβανομένων των ΗΠΑ, του Skimmed Coin (USDC), του Ether (ETH) και άλλων μη ρευστοποιημένων μάρκες. Merlins LP μετά τον έλεγχο του κώδικα αδειάστηκε λίγες ώρες μετά την εκμετάλλευση, το Certik tweeted ότι εξέτασε το περιστατικό και εργάστηκε για την κατανόηση των αποτελεσμάτων της στην κοινότητα. Η εταιρεία ασφαλείας ανακοίνωσε ότι τα πρώτα τους αποτελέσματα έδειξαν αυτό ... (Symbolbild/KNAT)

Το αποκεντρωμένο χρηματιστήριο (DEX) Merlin με βάση το Ethereum, το μηδενικό-γνώση-Sync (ZKSync) που χρησιμοποιήθηκε, έχει χάσει περισσότερα από 1,8 εκατομμύρια δολάρια σε μια ρευστότητα εκμετάλλευση πισίνας μετά την εκμετάλλευση Smart-Recontract Security Certik είχε ελέγξει τον κώδικα του.

Το hack συνέβη την Τετάρτη το πρωί κατά τη διάρκεια της δημόσιας πώλησης του ιθαγενούς συμβολικού merlin, με τον εισβολέα πολλά περιουσιακά στοιχεία, συμπεριλαμβανομένου του USD, για να απομακρυνθεί το νόμισμα (USDC) και άλλες ρευστές.

merlins lp σύμφωνα με τον έλεγχο κώδικα

λίγες ώρες μετά την εκμετάλλευση έχει certik ότι εξέτασε το περιστατικό και εργάστηκε για την κατανόηση των αποτελεσμάτων της στην κοινότητα. Η εταιρεία ασφαλείας ανακοίνωσε ότι τα πρώτα της αποτελέσματα έδειξαν ότι ένα πρόβλημα με τη διαχείριση ιδιωτικών κλειδιών θα μπορούσε να οδηγήσει στο hack και όχι σε ένα εκμετάλλευση όσο μακριά από αυτό.

certik είπε ότι η τελευταία έκθεση ελέγχου για τον Merlin στο τμήμα "προσπάθειες αποκέντρωσης" επεσήμανε τον κίνδυνο συγκέντρωσης. Η εταιρεία επέμεινε ότι οι έλεγχοι δεν μπορούσαν να αποτρέψουν τα ιδιωτικά κλειδιά, αλλά πάντα εξασφάλισαν ότι οι καλύτερες πρακτικές επισημάνθηκαν για έργα.

Όπως και στον έλεγχο της 24ης Απριλίου 2023, το certik συνιστάται η Merlin να βελτιώσει τους κεντρικούς ρόλους του σε έναν αποκεντρωμένο μηχανισμό, όπως οι τοίχοι πολλαπλών υπογραφών για τη βελτίωση των πρακτικών ασφαλείας. Η εταιρεία ζήτησε επίσης τα πρακτικά να εφαρμόσει μια λειτουργία Timelock με λανθάνουσα κατάσταση τουλάχιστον 48 ωρών για να αποφευχθεί ένα σφάλμα διαχείρισης ενός σημείου διαχείρισης. Η Certik έχει επίσης υποσχεθεί να συνεργαστεί με τις αρμόδιες αρχές όταν ανακαλυφθεί ένα φάουλ.

"Ενθαρρύνουμε όλα τα μέλη της κοινότητας να ελέγξουν πλήρως αυτές τις πληροφορίες και όλους τους ελέγχους.

κακοήθης κώδικας αναγνωρισμένος

ενδιαφέρον ezkalibur, ένα άλλο zksync dex και launchpad, έγκριση για να μεταφέρει ένα απεριόριστο ποσό μαρκών από τη διεύθυνση της σύμβασης.

📢 Έχουμε πραγματοποιήσει κάποια έρευνα σχετικά με τις συμβάσεις Merlin Smart και εντοπίσαμε τον κακοήθους κώδικα που είναι υπεύθυνος για την κατάργηση των κεφαλαίων.

Αυτές οι δύο γραμμές κώδικα στη συνάρτηση αρχικοποίησης ουσιαστικά παρέχουν την έγκριση για την επιθυμητή διεύθυνση, έναν απεριόριστο (uint256) .max) ... -ezkalibur ∎ (@zkaliburdex)

Εν τω μεταξύ, η ομάδα merlin sex = "s1" s1 ". Ανακαλέστε την πρόσβαση στη συνδεδεμένη τοποθεσία στα πορτοφόλια τους ενώ αναλύει την αιτία της εκμετάλλευσης.