Zksync Dex Merlin a Code Audit szerint több mint 1,8 millió dollárért

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — Az Ethereumon alapuló decentralizált tőzsde (DEX), amely nulla tudás-Sync-t (ZKSYNC) használ, több mint 1,8 millió dollárt veszített el egy likviditási medencében, miután a Certik intelligens szerződéses biztonsági társaság ellenőrizte kódját. A hack szerdán reggel történt a Merlin natív token nyilvános eladása során, a támadónak számos eszközzel, köztük USD, Skimmed Coin (USDC), Ether (ETH) és más likvid tokenek. Merlins LP A kód ellenőrzése után néhány órával a kizsákmányolás után üres, Certik tweetelt, hogy megvizsgálta az eseményt, és azon dolgozott, hogy megértse annak a közösségre gyakorolt hatásait. A biztonsági társaság bejelentette, hogy első eredményeik ezt jelezték ... (Symbolbild/KNAT)

A decentralizált tőzsde (DEX) Merlin, az Ethereum alapján, a nulla tudás-szinkron (ZKSYNC), több mint 1,8 millió dollárt veszített el egy likviditási medencében, miután a Certik intelligens-felvonási biztonsági társaság ellenőrizte a kódját.

A hack szerdán reggel történt a Merlin natív token nyilvános eladása során, a támadóval több eszközzel, köztük USD -vel, az érme (USDC) és más nem likvidek lerakására.

merlins lp A kód ellenőrzése szerint

Néhány órával azután, hogy a kizsákmányolás certik Dweeted Megvizsgálta az eseményt, és azon dolgozott, hogy megértse annak a közösségre gyakorolt hatásait. A biztonsági társaság bejelentette, hogy első eredményei azt mutatták, hogy a magánkulcsok adminisztrációjának problémája a hackhez vezethet, és nem egy kizsákmányolás

certik elmondta, hogy a Merlin legfrissebb ellenőrzési jelentése a "decentralizációs erőfeszítések" szakaszban rámutatott a központosítási kockázatra. A társaság ragaszkodott ahhoz, hogy az ellenőrzések ne tudják megakadályozni a magánkulcsokat, de mindig gondoskodtak arról, hogy a projektek jobb gyakorlatát kiemeljék.

, mint a 2023. április 24-i ellenőrzésben, a certik azt javasolta, hogy a Merlin javítsa a decentralizált mechanizmus, például a több aláírási falak központi szerepeit a biztonsági gyakorlatok javítása érdekében. A vállalat a jegyzőkönyveket is kérte egy Timelock funkció végrehajtására, legalább 48 órás késleltetéssel, hogy elkerülje az egypontos kezelési hibát. A Certik azt is megígérte, hogy együttműködik a felelősségvállalással, amikor egy szabálytalanságot fedeznek fel.

"Arra ösztönözzük az összes közösség tagját, hogy ellenőrizze ezt az információt és az összes ellenőrzést. Miközben elsajátítjuk ezt a kihívást jelentő helyzetet, szeretnénk biztosítani Önöket, hogy minden szükséges intézkedést megteszünk a közösség érdekeinek védelme érdekében" - mondta Certik.

A rosszindulatú kód felismert

Interestingly Ezkalibur, another ZKSync dex and launchpad, unveiled Meghatározta a rosszindulatú kódot, amely lehetővé tette a hackerek számára, hogy Skim Merlin pénzét soványozzák. A Dex azt mondta, hogy két kódvonalat talált az inicializálási funkcióban, amelyek megadták a Feeto jóváhagyás címét, hogy korlátlan mennyiségű zsetonot továbbítson a szerződés címéről.

📢 Néhány kutatást végeztünk a Merlin intelligens szerződésekről, és azonosítottuk a pénzeszközök eltávolításáért felelős rosszindulatú kódot.

Ez a két kódsor az inicializálási funkcióban alapvetően adja meg a kívánt cím jóváhagyását, egy korlátlan (type (uint256) .max) ... pic.twitter.com/miksh4hkhb -ezkalibur ∎ (@zkaliburdex) Április 202.

időközben a Merlin Team kért "> kért"> kérte. Hozzáférés a pénztárcájukban lévő csatlakoztatott helyhez, miközben elemzi a kizsákmányolás okát.