Zksync Dex Merlin vastavalt koodide auditile üle 1,8 miljoni dollari

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — Zero-Knowledge-Sync (ZKSYNC) kasutav Ethereumil põhinev detsentraliseeritud börs (DEX) on kaotanud enam kui 1,8 miljonit dollarit likviidsusbasseini ärakasutamist pärast seda, kui Smart Lepingu turvaettevõte Certik oli oma koodi kontrollinud. Häkkimine juhtus kolmapäeva hommikul Merlini põlise märgi avaliku müügi ajal, kus ründaja on mitu vara, sealhulgas USD, Skimmed Coin (USDC), Ether (ETH) ja muud illiquedi žetoonid. Merlins LP Pärast koodi auditit tühjana mõni tund pärast ärakasutamist säutsus Certik, et uuris juhtumit ja töötas selle mõjuga kogukonnale. Turvafirma teatas, et nende esimesed tulemused näitasid seda ... (Symbolbild/KNAT)

Decenraliseeritud börs (DEX) Merlin, mis põhineb Ethereumil, kasutatud Zero-Knowledge-Sync (ZKSYNC) põhjal, on likviidsusbasseini ärakasutamisel kaotanud enam kui 1,8 miljonit dollarit pärast seda, kui Smart-Recorchati turvaettevõtte Certik oli selle koodi kontrollinud.

Hack leidis aset kolmapäeva hommikul Merlini põlise märgi avaliku müügi ajal, ründajaga mitu vara, sealhulgas USD, et mündi (USDC) ja muude illiquadide mahasurumine.

Merlins LP vastavalt koodi auditile

Mõni tund pärast ekspluateerimist on sertik ekspluateerimiseks nii kaugel sellest.

Certik ütles, et Merlini uusim auditeerimisaruanne jaotises "Detsentraliseerimise jõupingutused" osutas tsentraliseerimisriskile. Ettevõte nõudis, et auditid ei suutnud eravõtmeid ära hoida, vaid tagasid alati, et projektide jaoks on paremaid tavasid esile tõstetud.

Nagu 24. aprilli 2023 auditis, soovitas CertiK , et Merlin parandaks oma tsentraliseeritud rolli detsentraliseeritud mehhanismile, näiteks mitme allkirjaga seintele, et parandada turvapraktikat. Samuti palus ettevõte minuteid rakendada Timelock-funktsiooni vähemalt 48 tunni latentsusajaga, et vältida ühekordse haldusviga. Certik on lubanud teha koostööd ka vastutustundlike asutustega, kui vea avastatakse.

"Soovitame kõiki kogukonna liikmeid seda teavet ja kõiki auditeid täielikult kontrollida. Kui me seda keerulist olukorda omandame, tahaksime teile kinnitada, et võtame kõik vajalikud meetmed oma kogukonna huvide kaitsmiseks,“ ütles CertiK.

Pahaloomuline kood on tunnustatud

Huvitaval kombel Ezkalibur, veel üks ZKSYNC Dex ja LaunchPad, kinnitus piiramatu koguse žetoonide ülekandmiseks lepingu aadressilt.

📢 Oleme teinud mõned uuringud Merlini nutikate lepingute kohta ja tuvastanud pahaloomulise koodeksi, mis vastutab raha eemaldamise eest.

Need kaks koodirida initsialiseerimisfunktsioonis annavad põhimõtteliselt soovitud aadressi kinnituse, piiramatu (tüüp (uint256) .max) ... -ezkalibur ∎ (@zkaliburdex)

Vahepeal Merlini meeskond .