DEX Merlin на базі zkSync зазнала хакерської атаки одразу після аудиту
Децентралізована біржа Merlin на базі L2-рішення zkSync втратила $1,8 млн внаслідок хакерської атаки. Інцидент стався під час публічного продажу токенів MAGE.
🚨 URGENT: @TheMerlinDEX has been HACKED! 🚨
— Documenting zkSync 📄 (@DocumentzkSync) April 26, 2023
Over $1.82M stolen from investors as LP drains. If you've interacted with their contracts, revoke your wallet IMMEDIATELY! ⚠️
Revoke here 👉 https://t.co/SdEInOVqZp
Help warn others – RETWEET this vital info! 🙏 pic.twitter.com/1UB40UCDxl
Представники Merlin попросили користувачів DEX відкликати свої підписи для схвалення смартконтрактів у криптовалютних гаманцях.
Developer announcement 📢
— Merlin (@TheMerlinDEX) April 26, 2023
Can everyone revoke connected site access on your wallets/sign permission https://t.co/YRxH7IUU4T
We are analysing the exploit of our protocol and would stress that everyone carries out this step as a precaution.
More updates will be provided
За даними компанії CertiK, яка проводила аудит коду платформи напередодні, результати розслідування вказують на проблему в управлінні закритими ключами. На думку експертів, саме це могло призвести до виведення коштів з пулів ліквідності.
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
— CertiK (@CertiK) April 26, 2023
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
Під час перевірки коду проєкту аналітики CertiK підкреслили, що розробникам платформи необхідно підвищити “рівень децентралізації”, а також рекомендували використовувати мультисіг-гаманці.
Водночас команда іншої децентралізованої платформи eZKalibur заявила, що ідентифікувала “шкідливий” код, який дозволив вивести активи з Merlin.
📢 We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB
“Ці дві строки коду надають дозвіл для переказу необмеженої кількості токенів з адреси смартконтракту […] Як CertiK міг допустити це?” — йдеться у повідомленні.
На думку представників eZKalibur, виявлену вразливість слід було маркувати як “критичну” з боку аудиторів.
На тлі цього деякі користувачі Twitter звинуватили команду Merlin у реалізації шахрайської схеми rug pull, коли розробники раптово відмовляються від проєкту або видаляють чи продають його ліквідність.
100% RUG 🤡, Their contract approves the tokens to the deployer. Bizarrely, @CertiK 's audit has no hints pic.twitter.com/WCtdT2p2ib
— ConnorRepeat 🛸 (@ConnorRepeat) April 26, 2023
Раніше, на думку фахівців PeckShield, схожу схему реалізувала команда децентралізованої біржі Arbiswap на базі мережі L2-рішення Arbitrum. З пулів ліквідності було виведено понад $100 000.