Zksync Dex Merlin Code Auditoinnin mukaan yli 1,8 miljoonalla dollarilla

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — Ethereumiin perustuva hajautettu pörssi (DEX), joka käyttää nolla-tietämyksen syncia (Zksync), on menettänyt yli 1,8 miljoonaa dollaria likviditeettipoolissa, kun älykäs sopimusturvayritys Certik oli tarkistanut koodinsa. Hack tapahtui keskiviikkoaamuna Merlinin alkuperäisen merkin julkisen myynnin aikana, ja hyökkääjällä oli useita varoja, mukaan lukien USD, Scimmded Coin (USDC), Ether (ETH) ja muut epälikvidit rahakkeet. Merlins LP: n jälkeen koodiarkastus on tyhjä muutama tunti hyväksikäytön jälkeen, Certik tweettoi, että se tutki tapahtumaa ja pyrki ymmärtämään sen vaikutuksia yhteisöön. Turvayhtiö ilmoitti, että heidän ensimmäiset tulokset osoittivat tämän ... (Symbolbild/KNAT)

Hajautettu pörssi (DEX) Merlin, joka perustuu Ethereumiin, nolla-tietämyksen sync (Zksync) on menettänyt yli 1,8 miljoonaa dollaria likviditeettialtaan hyödyntämisessä sen jälkeen, kun Smart-Recontract Security Company Certik oli tarkistanut koodinsa.

Hack tapahtui keskiviikkoaamuna Merlinin alkuperäisen merkin julkisen myynnin aikana, ja hyökkääjällä on useita varoja, mukaan lukien USD, purkaakseen kolikkoa (USDC) ja muita epälikvidejä.

merlins lp koodiarkastuksen mukaan

Muutaman tunnin kuluttua hyväksikäytöstä on sertiik tweeted hyväksikäyttöön niin kaukana siitä.

Certik sanoi, että Merlinin viimeisin tarkastusraportti osiossa "hajauttamispyrkimykset" huomauttivat keskitysriskille. Yhtiö vaati, että auditoinnit eivät pystyneet estämään yksityisiä avaimia, mutta varmistivat aina, että projektit korostettiin parempia käytäntöjä.

kuten 24. huhtikuuta 2023 tarkastuksessa Certik suositteli, että Merlin paransi keskitettyjä rooliaan hajautettuun mekanismiin, kuten monisilmulkujen seiniin turvallisuuskäytäntöjen parantamiseksi. Yhtiö pyysi myös pöytäkirjoja Timelock-toiminnon toteuttamiseksi vähintään 48 tunnin latenssilla yhden pisteen avaimen hallintavirheen välttämiseksi. Certik on myös luvannut työskennellä vastuullisten viranomaisten kanssa, kun virhe löydetään.

"Kannustamme kaikkia yhteisön jäseniä tarkistamaan nämä tiedot ja kaikki tarkastukset kokonaan. Vaikka hallitsemme tämän haastavan tilanteen, haluamme vakuuttaa teille, että ryhdymme kaikkiin tarvittaviin toimenpiteisiin yhteisömme etujen suojelemiseksi", Certik sanoi.

pahanlaatuisen koodin tunnistettu

mielenkiintoisella tavalla Ezkalibur, toinen Zksync Dex ja LaunchPad, Se oli tunnistanut pahanlaatuisen koodin, joka antoi hakkereille mahdollisuuden purkaa Merlinin rahat. DEX kertoi löytäneensä kaksi koodirivistä alustusfunktiosta, joka antoi osoitteen FeotO Hyväksyntä siirtämään rajoittamaton määrä merkkejä sopimusosoitteesta.

📢 Olemme tehneet joitain tutkimuksia Merlin Smart -sopimuksista ja tunnistanut rahastojen poistamisen pahanlaatuisen koodin.

Nämä kaksi koodirivistä alustofunktiossa myöntävät olennaisesti halutun osoitteen hyväksynnän, rajoittamattoman (tyyppi (uint256) .max) ... -ezkalibur ∎ (@zkaliburdex)

Sillä välin Merlin-tiimi