Zksync Dex Merlin pagal Code Audit už daugiau nei 1,8 mln. USD

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — Decentralizuota vertybinių popierių birža (DEX), pagrįsta „Ethereum“, kuri naudoja nulinę žinių sinchronizavimą (ZKSYNC), prarado daugiau nei 1,8 mln. Hack įvyko trečiadienio rytą viešai parduodant „Merlin“ vietinį žetoną, kai užpuolikas buvo kelis turtas, įskaitant USD, nugriebtą monetą (USDC), eterį (ETH) ir kitus nelikvidus žetonus. „Merlins LP“ po kodo audito keliomis valandomis po išnaudojimo, pažymėjo, kad jis ištyrė įvykį ir siekė suprasti jo poveikį bendruomenei. Saugumo bendrovė paskelbė, kad pirmieji jų rezultatai tai nurodė ... (Symbolbild/KNAT)

Decentralizuotos vertybinių popierių biržos (DEX) Merlin, pagrįstas „Ethereum“, panaudota nulinės žinios-sinco (ZKSYNC), prarado daugiau nei 1,8 mln.

hack įvyko trečiadienio rytą viešai parduodant „Merlin“ vietinį žetoną, o užpuolikas kelis turtas, įskaitant USD, norėjo nugriauti monetą (USDc) ir kitus iliquids.

Merlins LP pagal kodą Audit

po kelių valandų po išnaudojimo turi sertifik Išnagrinėjo įvykį ir siekė suprasti jo poveikį bendruomenei. Saugumo bendrovė paskelbė, kad pirmieji jos rezultatai parodė, kad privačių raktų administravimo problema galėjo būti nulaužta, o ne išnaudojimo iki pat jo.

Certik teigė, kad naujausia „Merlin“ audito ataskaita skyriuje „Decentralizacijos pastangos", nurodyta centralizacijos rizikai. Bendrovė reikalavo, kad auditai negalėtų užkirsti kelio privatiems raktams, tačiau visada užtikrino, kad projektams buvo pabrėžiama geresnė praktika.

Kaip ir 2023 m. Balandžio 24 d. Audite, sertic rekomendavo, kad „Merlin“ patobulintų savo centralizuotą vaidmenį į decentralizuotą mechanizmą, pavyzdžiui, daugialypės sienos, kad būtų galima patobulinti saugumo praktiką. Bendrovė taip pat paprašė protokolų įdiegti „Timelock“ funkciją, kurios vėlavimas yra mažiausiai 48 valandos, kad būtų išvengta vienkartinio rakto valdymo klaidos. „Certik“ taip pat pažadėjo dirbti su atsakingomis valdžios institucijomis, kai aptikta pražanga.

"Mes skatiname visus bendruomenės narius visiškai patikrinti šią informaciją ir visus auditus. Nors mes įvaldome šią sudėtingą situaciją, norėtume jus patikinti, kad imamės visų būtinų priemonių, kad apsaugotume savo bendruomenės interesus", - sakė Certik.

atpažintas piktybinis kodas

Įdomu Ezkalibur, kitas „Zksync dex“ ir „Launchpad“, jis nustatė piktybinį kodą, kuris leido įsilaužėliams nugriauti Merlino pinigus. DEX teigė, kad inicijavimo funkcijoje jis rado dvi kodo eilutes, kuriose pateiktas „FePo patvirtinimas , kad iš sutarties adreso būtų perkeltas neribotas kiekis žetonų.

📢 Mes atlikome keletą „Merlin Smart“ sutarčių tyrimų ir nustatėme piktybinį kodą, atsakingą už lėšų pašalinimą.

Šios dvi kodo eilutės inicializacijos funkcijoje iš esmės suteikia norimo adreso patvirtinimą-neribotą

-Ezkalibur ∎ (@zkaliburdex)

Tuo tarpu „Merlin“ komanda