Zksync Dex Merlin podľa auditu kódu za viac ako 1,8 milióna dolárov

Veröffentlicht: 26. April 2023, 20:15 Uhr

Aktualisiert: 26. April 2023, 20:23 Uhr

Von: Krypto News Österreich

Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte. Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token. Merlins LP nach Code-Audit geleert Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, … — Decentralizovaná burza cenných papierov (DEX) založená na Ethereum, ktorá využíva synchronizáciu nulového znalostí (Zksync), stratila viac ako 1,8 milióna dolárov v využívaní likvidity po tom, čo spoločnosť Smart Contract Security Company Certik skontrolovala svoj kód. Hack sa stal v stredu ráno počas verejného predaja Merlinovho pôvodného tokenu, s útočníkom niekoľko aktív vrátane USD, odstredených mincí (USDC), éter (ETH) a ďalších tokenov nelikvidných. Merlins LP Po audite kódu vyprázdnený niekoľko hodín po vykorisťovaní, Certik tweetoval, že incident preskúmal a pracoval na porozumení jeho účinkov na komunitu. Bezpečnostná spoločnosť oznámila, že ich prvé výsledky to naznačujú ... (Symbolbild/KNAT)

Decentralizovaná burza cenných papierov (DEX) Merlin na základe Ethereum, použitých nulových znalostí (Zksync), stratila viac ako 1,8 milióna dolárov v využívaní likvidity po tom, čo spoločnosť Smart-Recontract Security Company Certik skontrolovala svoj kód.

Hack sa vyskytlo v stredu ráno počas verejného predaja Merlinovho pôvodného tokenu, pričom útočník niekoľko aktív vrátane USD, aby skrátil mince (USDC) a ďalšie ilikvy.

merlins lp podľa kódu auditu

Niekoľko hodín po tom, čo má vykorisťovanie certik To, že preskúmal incident a pracoval na porozumení jeho účinkov na komunitu. Bezpečnostná spoločnosť oznámila, že jej prvé výsledky naznačujú, že problém so správou súkromných kľúčov by mohol viesť k hackeru a nie exploit podľa neho.

Certik uviedol, že posledná správa o audite pre Merlin v oddiele „Úsilie o decentralizáciu“ poukázala na riziko centralizácie. Spoločnosť trvala na tom, že audity nemôžu zabrániť súkromným kľúčom, ale vždy zabezpečila, že pre projekty sa zvýrazňujú lepšie postupy.

Rovnako ako v audite z 24. apríla 2023, Certik odporučil, aby Merlin zlepšil svoje centralizované úlohy na decentralizovaný mechanizmus, ako sú steny viacerých podpisov na zlepšenie bezpečnostných postupov. Spoločnosť tiež požiadala zápisnicu na implementáciu funkcie Timelock s latenciou najmenej 48 hodín, aby sa predišlo chybe riadenia jedného bodu. Certik tiež sľúbil, že bude pracovať so zodpovednými orgánmi, keď sa objaví faul.

"Odporúčame všetkým členom komunity, aby úplne skontrolovali tieto informácie a všetky audity. Aj keď zvládneme túto náročnú situáciu, chceli by sme vás ubezpečiť, že prijmeme všetky potrebné opatrenia na ochranu záujmov našej komunity," uviedol Certik.

malígny kód rozpoznaný

Zaujímavé Ezkalibur, ďalší Zksync dex a launchPad, schválenie na prevod neobmedzeného množstva tokenov zo zmluvnej adresy.

📢 Uskutočnili sme nejaký výskum Merlin Smart Contracts a identifikovali sme malígny kód, ktorý je zodpovedný za odstránenie finančných prostriedkov.

Tieto dva kódové riadky v inicializačnej funkcii v podstate udeľujú schválenie požadovanej adresy, neobmedzené (typ (uint256) .max)

-ezkalibur ∎ (@Zkaliburdex) Medzitým tím Merlin