L'exchange decentralizzato basato su Ethereum (DEX) Merlin, che utilizza la sincronizzazione a conoscenza zero (zkSync), ha perso più di 1,8 milioni di dollari in un exploit del pool di liquidità poche ore dopo che la società di sicurezza dei contratti intelligenti CertiK ha verificato il suo codice.
L'hacking è avvenuto mercoledì mattina durante la vendita pubblica del token nativo di Merlin, MAGE, con l'aggressore che ha sottratto diverse risorse, tra cui USD Coin (USDC), Ether (ETH) e altri token illiquidi.
LP di Merlino prosciugato dopo la verifica del codice
Poche ore dopo l'exploit, CertiK ha twittato che stava indagando sull'incidente e lavorando per comprenderne l'impatto sulla comunità. La società di sicurezza ha rivelato che i suoi risultati iniziali suggerivano che un problema di gestione della chiave privata potrebbe aver portato all'hack e non a un exploit , come ampiamente creduto.
CertiK ha affermato di aver sottolineato il rischio di centralizzazione nel recente rapporto di audit per Merlin nella sezione "Sforzi di decentralizzazione". L'azienda ha insistito sul fatto che, sebbene gli audit non possano prevenire problemi di chiave privata, hanno sempre assicurato di evidenziare le migliori pratiche per i progetti.
Come affermato nell'audit del 24 aprile 2023, CertiK ha raccomandato a Merlin di migliorare i suoi ruoli centralizzati in un meccanismo decentralizzato come i portafogli multi-firma per migliorare le pratiche di sicurezza. L'azienda ha anche chiesto al protocollo di implementare una funzione di timelock con una latenza di almeno 48 ore per evitare un singolo punto di errore nella gestione delle chiavi. CertiK ha anche promesso di collaborare con le autorità competenti se viene scoperto un gioco scorretto.
“Incoraggiamo tutti i membri della comunità a rivedere completamente queste informazioni e tutti gli audit. Mentre navighiamo in questa difficile situazione, vogliamo assicurarvi che stiamo adottando tutte le misure necessarie per proteggere gli interessi della nostra comunità", ha affermato CertiK.
Codice dannoso rilevato
È interessante notare che eZKalibur, un altro zkSync DEX e launchpad, ha rivelato di aver identificato il codice dannoso che ha consentito agli hacker di prosciugare i fondi di Merlin. Il DEX ha affermato di aver trovato due righe di codice nella funzione di inizializzazione che ha dato all'indirizzo feeTo l'approvazione per trasferire una quantità illimitata di token dall'indirizzo del contratto.
Abbiamo svolto alcune ricerche sui contratti intelligenti Merlin e abbiamo identificato il codice dannoso responsabile del drenaggio dei fondi.
Queste due righe di codice nella funzione di inizializzazione stanno essenzialmente concedendo l'approvazione per l'indirizzo feeTo per trasferire un numero illimitato (type(uint256).max)… pic.twitter.com/mIksh4HkhB— eZKalibur ∎ (@zkaliburDEX) 26 aprile 2023
Nel frattempo, il team Merlin ha chiesto agli utenti di revocare l'accesso al sito connesso sui loro portafogli mentre analizzano la causa dell'exploit.
Il post zkSync DEX Merlin sfruttato per oltre $ 1,8 milioni è apparso prima su CryptoPotato .