Zksync dex Merlin selon le Code Audit pour plus de 1,8 million de dollars

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — La Bourse décentralisée (DEX) basée sur Ethereum, qui utilise la synchronisation zéro-connaissance (Zksync), a perdu plus de 1,8 million de dollars dans un exploit de pool de liquidités après que la société de sécurité de contrat intelligente certik ait vérifié son code. Le hack s'est produit mercredi matin lors de la vente publique du token natif de Merlin, avec l'attaquant plusieurs actifs, dont l'USD, la pièce éclatée (USDC), l'éther (ETH) et d'autres jetons illiquides. Merlins LP Après l'audit du code vide quelques heures après l'exploit, Certik a tweeté qu'il avait examiné l'incident et a travaillé sur la compréhension de ses effets sur la communauté. La société de sécurité a annoncé que leurs premiers résultats indiquaient cela ... (Symbolbild/KNAT)

La bourse décentralisée (DEX) Merlin, basée sur Ethereum, la synchronisation zéro-connaissance (zksync) utilisée, a perdu plus de 1,8 million de dollars dans un exploit de pool de liquidités après que la société de sécurité de réconstruction intelligente certik a vérifié son code.

Le piratage s'est produit mercredi matin lors de la vente publique du token natif de Merlin, avec l'attaquant de plusieurs actifs, dont l'USD, pour éramer la pièce (USDC) et d'autres illiques.

merlins lp selon le code audit

Quelques heures après que l'exploit a certik qu'il a examiné l'incident et a travaillé sur la compréhension de ses effets sur la communauté. La société de sécurité a annoncé que ses premiers résultats indiquaient qu'un problème avec l'administration de clés privés aurait pu mener au piratage et non à un exploiter aussi loin.

certik a déclaré que le dernier rapport d'audit pour Merlin dans la section "efforts de décentralisation" a souligné le risque de centralisation. La société a insisté sur le fait que les audits ne pouvaient pas empêcher les clés privées, mais ont toujours garanti que de meilleures pratiques étaient mises en évidence pour les projets.

Comme lors de l'audit du 24 avril 2023, certik a recommandé que Merlin améliore ses rôles centralisés à un mécanisme décentralisé tel que les murs multi-signatures pour améliorer les pratiques de sécurité. La société a également demandé au procès-verbal de mettre en œuvre une fonction TimeLock avec une latence d'au moins 48 heures pour éviter une erreur de gestion à un point de clé. Certik a également promis de travailler avec les autorités responsables lorsqu'une faute est découverte.

"Nous encourageons tous les membres de la communauté à vérifier complètement ces informations et tous les audits. Bien que nous maîtrisons cette situation difficile, nous aimerions vous assurer que nous prenons toutes les mesures nécessaires pour protéger les intérêts de notre communauté", a déclaré Certik.

code malin reconnu

Interestingly Ezkalibur, another ZKSync dex and launchpad, dévoilé Il avait identifié le code malin qui a permis aux pirates d'écumer l'argent de Merlin. Le dex a déclaré qu'il avait trouvé deux lignes de code dans la fonction d'initialisation qui fournissaient l'adresse de pieds approbation pour transférer une quantité illimitée de jetons de l'adresse du contrat.

📢 Nous avons effectué des recherches sur les contrats intelligents de Merlin et identifié le code malin responsable de la suppression des fonds.

Ces deux lignes de code dans la fonction d'initialisation accordent essentiellement l'approbation de l'adresse souhaitée, un illimité (type (uint256) .max) ... pic.twitter.com/miksh4hhhb

- ezkalibur ∎ (@zkaliburdex) 26.

Entre-temps, l'équipe Merlin a demandé Révoquez l'accès au site connecté dans leurs portefeuilles tout en analysant la cause de l'exploit.