Zksync Dex Merlin secondo il controllo del codice per oltre $ 1,8 milioni

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — La Borsa decentralizzata (DEX) basata su Ethereum, che utilizza zero-conoscenza-Sync (ZKSYNC), ha perso oltre 1,8 milioni di dollari in un exploit di pool di liquidità dopo che la società di sicurezza del contratto intelligente Certik aveva controllato il suo codice. L'hack è avvenuto mercoledì mattina durante la vendita pubblica del token nativo di Merlin, con l'attaccante di diverse attività, tra cui USD, moneta scremata (USDC), etere (ETH) e altri token illiquidi. Merlins LP dopo l'audit del codice vuoto poche ore dopo l'exploit, Certik ha twittato che ha esaminato l'incidente e ha lavorato per comprendere i suoi effetti sulla comunità. La società di sicurezza ha annunciato che i loro primi risultati hanno indicato questo ... (Symbolbild/KNAT)

La borsa decentralizzata (DEX) (DEX) basata su Ethereum, l'utilizzo della Sync a conoscenza zero (Zksync), ha perso oltre 1,8 milioni di dollari in un exploit di pool di liquidità dopo che la società di sicurezza di ricontrollamento Smarttract Certik aveva controllato il suo codice.

L'hack si è verificato mercoledì mattina durante la vendita pubblica del token nativo di Merlin, con l'attaccante diverse attività, incluso USD, per scremare monete (USDC) e altri illiquidi.

Merlins LP secondo il codice Audit

poche ore dopo lo exploit ha certik exploit per quanto lontano.

Certik ha affermato che l'ultimo rapporto di audit per Merlin nella sezione "Decentratization Sforks" ha sottolineato il rischio di centralizzazione. La società ha insistito sul fatto che gli audit non potevano prevenire le chiavi private, ma ha sempre assicurato che fossero evidenti pratiche migliori per i progetti.

come nell'audit del 24 aprile 2023, Certik ha raccomandato che Merlin abbia migliorato i suoi ruoli centralizzati in un meccanismo decentralizzato come le pareti multi-firma per migliorare le pratiche di sicurezza. La società ha anche chiesto ai verbali di implementare una funzione Timelock con una latenza di almeno 48 ore per evitare un errore di gestione a punto singolo. Certik ha anche promesso di lavorare con le autorità responsabili quando viene scoperto un fallo.

"Incoraggiamo tutti i membri della comunità a controllare completamente queste informazioni e tutti gli audit. Mentre padroneggiamo questa situazione impegnativa, vorremmo assicurarti che adottiamo tutte le misure necessarie per proteggere gli interessi della nostra comunità", ha affermato Certik.

Codice maligno riconosciuto

interessante ezkalibur, un altro Zksync dex e launchpad, per trasferire un importo illimitato di token dall'indirizzo del contratto.

📢 Abbiamo condotto alcune ricerche sui contratti intelligenti di Merlin e identificato il codice maligno responsabile della rimozione di fondi.

These two code lines in the initialization function essentially grant the approval for the desired address, an unlimited (type (uint256) .max) ... pic.twitter.com/miksh4hkhb

-ezkalibur ∎ (@zkaliburdex)

Nel frattempo il team Merlin ;