ZKSYNC DEX Merlin De acordo com a auditoria de código por mais de US $ 1,8 milhão

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — A Bolsa de Valores descentralizada (DEX) baseada no Ethereum, que utiliza-se-sincronizada zero (ZKSYNC), perdeu mais de US $ 1,8 milhão em uma exploração do pool de liquidez depois que a empresa de segurança contratada Smart Certik verificou seu código. O hack aconteceu na manhã de quarta -feira, durante a venda pública do token nativo de Merlin, com o atacante vários ativos, incluindo USD, Skimmed Coin (USDC), Ether (ETH) e outros tokens ilíquidos. O Merlins LP após a auditoria de código vazia algumas horas após a exploração, Certik twittou que examinou o incidente e trabalhou para entender seus efeitos na comunidade. A empresa de segurança anunciou que seus primeiros resultados indicaram isso ... (Symbolbild/KNAT)

A Bolsa de Valores Descentralizada (DEX) Merlin baseada no Ethereum, usada pelo Sync-Sync (ZKSYNC) zero (ZKSYNC), perdeu mais de US $ 1,8 milhão em uma exploração do pool de liquidez depois que a empresa de segurança inteligente Certik verificou seu código.

The Hack ocorreu na manhã de quarta -feira, durante a venda pública do token nativo de Merlin, com o atacante vários ativos, incluindo USD, para desnatar a moeda (USDC) e outros ilíquidos.

Merlins LP de acordo com a auditoria de código

poucas horas após a exploração ter certik explorar o mais longe disso.

Certik disse que o mais recente relatório de auditoria para Merlin na seção "esforços de descentralização" apontou para o risco de centralização. A empresa insistiu que as auditorias não pudessem impedir chaves privadas, mas sempre garantiu que melhores práticas fossem destacadas para os projetos.

Como na auditoria de 24 de abril de 2023, Certik recomendou que Merlin melhorasse suas funções centralizadas para um mecanismo descentralizado, como paredes multi-assinatura, para melhorar as práticas de segurança. A empresa também pediu a atas para implementar uma função de timelock com uma latência de pelo menos 48 horas para evitar um erro de gerenciamento de ponto único. Certik também prometeu trabalhar com as autoridades responsáveis quando uma falta é descoberta.

"Incentivamos todos os membros da comunidade a verificar completamente essas informações e todas as auditorias. Enquanto dominamos essa situação desafiadora, gostaríamos de garantir que tomamos todas as medidas necessárias para proteger os interesses de nossa comunidade", disse Certik.

Código maligno reconhecido

Curiosamente Ezkalibur, outro zksync dex e launchpad, Identificou o código maligno que permitiu aos hackers passar o dinheiro de Merlin. O DEX disse que encontrou duas linhas de código na função de inicialização que forneceu o endereço de FOTE aprovação para transferir uma quantidade ilimitada de tokens do endereço do contrato.

📢 Realizamos algumas pesquisas sobre contratos inteligentes da Merlin e identificamos o código maligno responsável pela remoção de fundos.

These two code lines in the initialization function essentially grant the approval for the desired address, an unlimited (type (uint256) .max) ... pic.twitter.com/miksh4hkhb

-ezkalibur ∎ (@zkaliburDex)

Enquanto isso, a equipe do Merlin