Zksync Dex Merlin i henhold til koderevisjon for over 1,8 millioner dollar

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — Den desentraliserte børsen (DEX) basert på Ethereum, som bruker nullkunnskap-synkronisering (Zksync), har tapt mer enn 1,8 millioner dollar i en likviditetsbasseng utnyttelse etter at Smart Contract Security Company Certik hadde sjekket koden. Hacken skjedde onsdag morgen under det offentlige salget av Merlins innfødte token, med angriperen flere eiendeler, inkludert USD, Skummed Coin (USDC), Ether (ETH) og andre illikvidtokener. Merlins LP etter koderevisjon tomt noen timer etter utnyttelsen, twitret Certik at den undersøkte hendelsen og arbeidet med å forstå dens virkning på samfunnet. Sikkerhetsselskapet kunngjorde at deres første resultater indikerte dette ... (Symbolbild/KNAT)

Den desentraliserte børsen (DEX) Merlin basert på Ethereum, nullkunnskap-synkroniseringen (Zksync) som ble brukt, har mistet mer enn 1,8 millioner dollar i en likviditetsbasseng utnyttelse etter at smart-rekontract-sikkerhetsselskapet Certik hadde sjekket koden.

The Hack skjedde onsdag morgen under det offentlige salget av Merlins innfødte token, med angriperen flere eiendeler, inkludert USD, for å skumme ned mynt (USDC) og andre illikvider.

merlins LP i henhold til koderevisjon

noen timer etter at utnyttelsen har certik at den undersøkte hendelsen og arbeidet med å forstå dens virkning på samfunnet. Sikkerhetsselskapet kunngjorde at de første resultatene indikerte at et problem med administrasjonen av private nøkler kunne ha ført til hacket og ikke en utnyttelse så langt fra det.

Certik sa at den siste revisjonsrapporten for Merlin i avsnittet "Desentraliseringsinnsats" påpekte sentraliseringsrisikoen. Selskapet insisterte på at revisjoner ikke kunne forhindre private nøkler, men sørget alltid for at bedre praksis ble fremhevet for prosjekter.

Som i revisjonen 24. april 2023 anbefalte certik at Merlin forbedret sine sentraliserte roller til en desentralisert mekanisme som multisignaturvegger for å forbedre sikkerhetspraksisen. Selskapet ba også protokollen om å implementere en Timelock-funksjon med en latens på minst 48 timer for å unngå en enkeltpunktsstyringsfeil. Certik har også lovet å samarbeide med ansvarlige myndigheter når en foul blir oppdaget.

"Vi oppfordrer alle samfunnsmedlemmer til å sjekke denne informasjonen fullstendig og alle revisjoner. Mens vi mestrer denne utfordrende situasjonen, vil vi forsikre deg om at vi tar alle nødvendige tiltak for å beskytte interessene til samfunnet vårt," sa Certik.

ondartet kode anerkjent

Interessant nok Ezkalibur, en annen Zksync Dex og LaunchPad, Den hadde identifisert den ondartede koden som gjorde det mulig for hackerne å skumme Merlins penger. Dex sa at han fant to kodelinjer i initialiseringsfunksjonen som ga adressen til Feeto godkjenning for å overføre en ubegrenset mengde symboler fra kontraktadressen.

📢 Vi har utført litt forskning på Merlin smarte kontrakter og identifisert den ondartede koden som er ansvarlig for å fjerne midler.

Disse to kodelinjene i initialiseringsfunksjonen gir i hovedsak godkjenning for ønsket adresse, en ubegrenset (type (uint256) .Max) ... -ezkalibur ∎ (@zkaliburdex)

i mellomtiden Merlin-teamet .