Zksync Dex Merlin según la auditoría del código por más de $ 1.8 millones

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — La bolsa de valores descentralizada (DEX) basada en Ethereum, que utiliza cerokledge-sync (ZKSYNC), ha perdido más de $ 1.8 millones en una explotación de un grupo de liquidez después de que la compañía de seguridad de contratos inteligentes Certik había revisado su código. El truco ocurrió el miércoles por la mañana durante la venta pública del token nativo de Merlín, con el atacante varios activos, incluidos USD, monedas Skimmed (USDC), Ether (ETH) y otras fichas ilíquidas. Merlins LP después de la auditoría de código vacía unas pocas horas después del exploit, Certik tuiteó que examinó el incidente y trabajó en la comprensión de sus efectos en la comunidad. La compañía de seguridad anunció que sus primeros resultados indicaron esto ... (Symbolbild/KNAT)

La Merlín de la Bolsa de Valores Decentralizada (DEX) basado en Ethereum, el cerokledge-sync (ZKSYNC) utilizado, ha perdido más de $ 1.8 millones en una explotación de un grupo de liquidez después de que la compañía de seguridad de recuperación inteligente Certik había verificado su código.

The Hack ocurrió el miércoles por la mañana durante la venta pública del token nativo de Merlín, con el atacante varios activos, incluidos USD, para escabullir la moneda (USDC) y otros ilíquidos.

Merlins LP según la auditoría del código

a few hours after the exploit has certik tweeted that Examinó el incidente y trabajó para comprender sus efectos en la comunidad. La compañía de seguridad anunció que sus primeros resultados indicaron que un problema con la administración de claves privadas podría haber llevado al hack y no a Exploit tan lejos de él.

certik dijo que el último informe de auditoría para Merlín en la sección "esfuerzos de descentralización" señaló el riesgo de centralización. La compañía insistió en que las auditorías no podían prevenir las claves privadas, pero siempre se aseguró de que se destacen mejores prácticas para los proyectos.

como en la auditoría del 24 de abril de 2023, certik recomendó que Merlín mejorara sus roles centralizados a un mecanismo descentralizado como paredes de firma múltiple para mejorar las prácticas de seguridad. La compañía también solicitó a las actas que implementen una función de Timelock con una latencia de al menos 48 horas para evitar un error de gestión de un solo punto de clave. Certik también ha prometido trabajar con las autoridades responsables cuando se descubre una falta.

"Alentamos a todos los miembros de la comunidad a verificar completamente esta información y todas las auditorías. Mientras dominamos esta situación desafiante, nos gustaría asegurarle que tomamos todas las medidas necesarias para proteger los intereses de nuestra comunidad", dijo Certik.

Código maligno reconocido

Interestingly Ezkalibur, another ZKSync dex and launchpad, unveiled Había identificado el código maligno que permitió a los piratas informáticos que skim el dinero de Merlín. El Dex dijo que encontró dos líneas de código en la función de inicialización que proporcionaba la dirección de FeetO Aprobación para transferir una cantidad ilimitada de tokens desde la dirección del contrato.

📢 Hemos realizado algunas investigaciones sobre contratos inteligentes de Merlin e identificamos el código maligno que es responsable de eliminar los fondos.

These two code lines in the initialization function essentially grant the approval for the desired address, an unlimited (type (uint256) .max) ... pic.twitter.com/miksh4hkhb

-Ezkalibur ∎ (@ZkaliburDex)

In the meantime the Merlin team Asked User can revoke Acceso al sitio conectado en sus billeteras mientras analiza la causa de la exploit.