ZKSYNC Dex Merlin volgens code -audit voor meer dan $ 1,8 miljoen

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — De gedecentraliseerde Stock Exchange (DEX) op basis van Ethereum, dat nul-kennis-sync (ZKSYNC) gebruikt, heeft meer dan $ 1,8 miljoen verloren in een liquiditeitspool die exploiteert nadat de Smart Contract Security Company Certik zijn code had gecontroleerd. De hack gebeurde op woensdagochtend tijdens de openbare verkoop van Merlijn's native token, met de aanvaller verschillende activa, waaronder USD, skimed munt (USDC), Ether (ETH) en andere illiquide tokens. Merlins LP Na code -audit is een paar uur na de exploit leeggemaakt, tweette Certik dat het het incident onderzocht en werkte aan het begrijpen van de effecten ervan op de gemeenschap. Het beveiligingsbedrijf kondigde aan dat hun eerste resultaten dit aangaven ... (Symbolbild/KNAT)

De gedecentraliseerde Stock Exchange (DEX) Merlin op basis van Ethereum, heeft de gebruikte Zero-Knowledge-Sync (ZKSYNC) meer dan $ 1,8 miljoen verloren in een liquiditeitspool-exploit nadat het Smart-Recontract Security Company Certik de code had gecontroleerd.

De hack vond plaats op woensdagochtend tijdens de openbare verkoop van Merlin's native token, met de aanvaller verschillende activa, waaronder USD, om munt (USDC) en andere illiquides af te skimen.

merlins lp volgens code audit

a few hours after the exploit has certik tweeted Dat het het incident onderzocht en werkte aan het begrijpen van de effecten ervan op de gemeenschap. Het beveiligingsbedrijf kondigde aan dat zijn eerste resultaten aangaven dat een probleem met het beheer van privésleutels tot de hack had kunnen leiden en niet een exploit zo ver van ervan.

Certik zei dat het laatste auditrapport voor Merlin in de sectie "Decentralisatie -inspanningen" op het centralisatierisico wees. Het bedrijf stond erop dat audits geen privésleutels konden voorkomen, maar zorgde er altijd voor dat betere praktijken werden benadrukt voor projecten.

Zoals bij de audit van 24 april 2023, beval certik aan dat Merlin zijn gecentraliseerde rollen verbeterde naar een gedecentraliseerd mechanisme zoals multi-ondertekenmerken om de beveiligingspraktijken te verbeteren. Het bedrijf vroeg ook de minuten om een Timelock-functie te implementeren met een latentie van ten minste 48 uur om een fout van het management van een enkel punt te voorkomen. Certik heeft ook beloofd om met de verantwoordelijke autoriteiten samen te werken wanneer een fout wordt ontdekt.

"We moedigen alle leden van de gemeenschap aan om deze informatie en alle audits volledig te controleren. Hoewel we deze uitdagende situatie beheersen, willen we u verzekeren dat we alle nodige maatregelen nemen om de belangen van onze gemeenschap te beschermen," zei Certik.

Malignite code herkend

Interessant is dat Ezkalibur, een andere ZKSYNC Dex en LaunchPad, goedkeuring voorzag om een onbeperkt bedrag van tokens uit het contractadres over te dragen.

📢 We hebben wat onderzoek gedaan naar Merlin slimme contracten en de kwaadaardige code geïdentificeerd die verantwoordelijk is voor het verwijderen van fondsen.

Deze twee codelijnen in de initialisatiefunctie geven in wezen de goedkeuring voor het gewenste adres, een onbeperkt (type (uint256) .max) ... pic.twitter

-ezkalibur ∎ (@zkaliburdex) 26.

In de tussentijd het Merlin-team Kan de toegang tot de verbonden site in hun portefeuilles intrekken terwijl de oorzaak van de exploit wordt geanalyseerd.