Zksync Dex Merlin prema reviziji koda za više od 1,8 milijuna dolara

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — Decentralizirana burza (DEX) na temelju Ethereuma, koja koristi nulta znanja (ZKSYNC), izgubila je više od 1,8 milijuna dolara u eksploataciji baze likvidnosti nakon što je Certik Smart ugovor o sigurnosti Certik provjerio svoj kôd. Hack se dogodio u srijedu ujutro tijekom javne prodaje Merlinovog rodnog tokena, a napadač je nekoliko imovina, uključujući USD, Skimmed Coin (USDC), eter (ETH) i druge nelikvidne tokene. Merlins LP nakon revizije koda prazan je nekoliko sati nakon iskorištavanja, Certik je tvitnuo da je ispitao incident i radio na razumijevanju njegovih učinaka na zajednicu. Sigurnosna tvrtka objavila je da su njihovi prvi rezultati ukazivali na to ... (Symbolbild/KNAT)

decentralizirana burza (DEX) Merlin na temelju Ethereuma, nula-knowledge-sinc (ZKSYNC), izgubila je više od 1,8 milijuna dolara u eksploataciji likvidnosti nakon što je Smart-Recorttact sigurnosna tvrtka Certik provjerila njegov kôd.

hack dogodio se u srijedu ujutro tijekom javne prodaje Merlinovog rodnog tokena, s napadačem nekoliko imovine, uključujući USD, kako bi preskočio Coin (USDC) i druge nelikvide.

Merlins lp prema reviziji koda

Nekoliko sati nakon eksploata ima certik Exploit što je daleko od njega.

certik rekao je da je najnovije revizijsko izvješće za Merlin u odjeljku "napori na decentralizaciji" ukazalo na rizik centralizacije. Tvrtka je inzistirala na tome da revizije ne mogu spriječiti privatne ključeve, ali uvijek je osigurala da su bolje prakse istaknute za projekte.

Kao u reviziji 24. travnja 2023., certik preporučio je da Merlin poboljšava svoje centralizirane uloge na decentralizirani mehanizam kao što su zidovi s više signala za poboljšanje sigurnosnih praksi. Tvrtka je također zatražila zapisnike da implementira funkciju TimeLock s latencijom od najmanje 48 sati kako bi se izbjegla pogreška u upravljanju u jednom točku. Certik je također obećao da će surađivati s odgovornim vlastima kada se otkriju prekršaj.

"Potičemo sve članove zajednice da u potpunosti provjere te podatke i sve revizije. Dok savladamo ovu izazovnu situaciju, željeli bismo vas uvjeriti da poduzimamo sve potrebne mjere kako bismo zaštitili interese naše zajednice", rekao je Certik.

Priznati maligni kod

Zanimljivo je Ezkalibur, još jedan zKSync dex i lansingpad, Odobrenje za prijenos neograničenog iznosa tokena s adrese ugovora.

📢 Proveli smo neka istraživanja o pametnim ugovorima Merlin i identificirali maligni kôd koji je odgovoran za uklanjanje sredstava.

Ove dvije kodne linije u funkciji inicijalizacije u osnovi odobravaju odobrenje za željenu adresu, neograničeno (uint256) .max) ... U međuvremenu je Merlinski tim .