Die auf Ethereum basierende dezentrale Börse (DEX) Merlin, die Zero-Knowledge-Sync (zkSync) verwendet, hat mehr als 1,8 Millionen US-Dollar in einem Liquiditätspool-Exploit verloren, Stunden nachdem die Smart-Contract-Sicherheitsfirma CertiK ihren Code geprüft hatte.
Der Hack geschah am Mittwochmorgen während des öffentlichen Verkaufs von Merlins nativem Token MAGE, wobei der Angreifer mehrere Vermögenswerte, einschließlich USD, abschöpfte Coin (USDC), Ether (ETH) und andere illiquide Token.
Inhaltsverzeichnis
Merlins LP nach Code-Audit geleert
Ein paar Stunden nach dem Exploit hat CertiK getwittert dass es den Vorfall untersuchte und daran arbeitete, seine Auswirkungen auf die Gemeinschaft zu verstehen. Die Sicherheitsfirma gab bekannt, dass ihre ersten Ergebnisse darauf hindeuteten, dass ein Problem bei der Verwaltung privater Schlüssel zu dem Hack geführt haben könnte und nicht ein ausbeutenwie weithin angenommen.
CertiK sagte, es habe im jüngsten Auditbericht für Merlin im Abschnitt „Dezentralisierungsbemühungen“ auf das Zentralisierungsrisiko hingewiesen. Das Unternehmen bestand darauf, dass Audits Probleme mit privaten Schlüsseln zwar nicht verhindern konnten, aber immer dafür sorgten, dass bessere Praktiken für Projekte hervorgehoben wurden.
Wie im Audit vom 24. April 2023 behauptet, hat CertiK empfohlen dass Merlin seine zentralisierten Rollen zu einem dezentralisierten Mechanismus wie Multi-Signatur-Wallets verbessert, um die Sicherheitspraktiken zu verbessern. Die Firma forderte das Protokoll außerdem auf, eine Timelock-Funktion mit einer Latenzzeit von mindestens 48 Stunden zu implementieren, um einen Single-Point-of-Key-Management-Fehler zu vermeiden. CertiK hat außerdem versprochen, mit den zuständigen Behörden zusammenzuarbeiten, wenn ein Foulspiel entdeckt wird.
„Wir ermutigen alle Community-Mitglieder, diese Informationen und alle Audits vollständig zu überprüfen. Während wir diese herausfordernde Situation meistern, möchten wir Ihnen versichern, dass wir alle notwendigen Maßnahmen ergreifen, um die Interessen unserer Gemeinschaft zu schützen“, sagte CertiK.
Bösartiger Code erkannt
Interessanterweise eZKalibur, ein weiteres zkSync DEX und Launchpad, enthüllt es hatte den bösartigen Code identifiziert, der es den Hackern ermöglichte, Merlins Gelder abzuschöpfen. Der DEX sagte, er habe zwei Codezeilen in der Initialisierungsfunktion gefunden, die die Adresse von feeTo lieferten Genehmigung eine unbegrenzte Menge an Token von der Vertragsadresse zu übertragen.
📢 Wir haben einige Recherchen zu Merlin Smart Contracts durchgeführt und den bösartigen Code identifiziert, der für das Abziehen von Geldern verantwortlich ist.
Diese beiden Codezeilen in der Initialisierungsfunktion erteilen im Wesentlichen die Genehmigung für die GebührTo-Adresse, eine unbegrenzte (type(uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) 26. April 2023
Inzwischen hat das Merlin-Team fragte Benutzer können den Zugriff auf die verbundene Site in ihren Wallets widerrufen, während sie die Ursache des Exploits analysieren.
.