DEX Merlin, проверенный CertiK, эксплуатировали за 1,8 миллиона долларов

0

Merlin, децентрализованная биржа на базе Ethereum (DEX ), использующий протокол zkSync уровня 2, подвергся эксплойту, в результате которого было потеряно около 1,8 миллиона долларов США.

Это произошло несмотря на получение аудита от аудитора смарт-контрактов CertiK. После раскрытия информации команда Merlin посоветовала пользователям отозвать разрешения кошелька, подключенного к ее сайту, и объявила, что в настоящее время анализирует возможные методы использования эксплойта.

CertiK< span class="md-plain">, фирма, выпустившая аудит в ходе предварительного расследования заявила, что инцидент мог возникнуть из-за проблемы с управлением закрытыми ключами, а не из-за эксплойта. Фирма подчеркнула «риск централизации» в своем аудите, а также подчеркнула, что аудит сам по себе не предназначен для предотвращения проблем с закрытыми ключами. CertiK заверила, что поделится соответствующей информацией с властями, если возникнут подозрения в нечестной игре или если произойдет утечка инсайдерской информации.

Блокчейн охранная фирма Peckshield также раскрыл злоумышленника, который начал переводить часть украденных средств на биржи, на сумму 133 800 долларов США. USDC отправлено на MEXC Global, а USDC на сумму 31 000 долларов США отправлено на Binance.

CertiK — это известный бренд в индустрии безопасности блокчейнов , и все же, несмотря на его защиту по этому вопросу, другие поставили под сомнение достоверность аудита. eZKalibur, еще один zkSync DEX утверждает, что идентифицировал вредоносный код, ответственный за слив средств, и вызвал вопросы по качеству аудита CertiK.

По словам eZKalibur, проблемный код находится внутри функции инициализации, где две строки кода разрешают адресуfeeTo передавать неограниченное количество (type(uint256).max) token0 и token1 с адреса контракта. В этом случае адрес FeTo потенциально может вызвать функцию TransferFrom для соответствующих токенов, позволяя передавать токены с адреса контракта на себя.

Этот вывод вызывает вопросы о тщательности аудита CertiK, поскольку риск срыва ковра, вызывающий серьезную обеспокоенность, не был явно отмечен в отчете.

eZKalibur утверждает, что эту проблему следовало пометить как » серьезная» или даже «критическая», а не простая проблема децентрализации. В отсутствие таймлока такая уязвимость может привести к немедленному сливу всех внесенных средств, что и произошло в эксплойте Merlin DEX.

Поскольку дебаты о процессе аудита и рисках централизации продолжаются, данные блокчейна указывают на то, что за эксплойт были ответственны два адреса. Адрес, начинающийся с 0x2744, взял 850 000 долларов США и соединил их с Ethereum, а другой адрес, 0x2744d62, украл 844 000 долларов США.

Отказ от ответственности: Эта статья предназначена для только в информационных целях. Он не предлагается и не предназначен для использования в качестве юридических, налоговых, инвестиционных, финансовых или других рекомендаций.

Отказ от ответственности

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *