Децентрализованная биржа Merlin на базе решения второго уровня zkSync Era потеряла в результате предполагаемого эксплойта активы примерно на $1,82 млн сразу после аудита CertiK.
🚨 URGENT: @TheMerlinDEX has been HACKED! 🚨Over $1.82M stolen from investors as LP drains. If you've interacted with their contracts, revoke your wallet IMMEDIATELY! ⚠️Revoke here 👉 https://t.co/SdEInOVqZpHelp warn others - RETWEET this vital info! 🙏 pic.twitter.com/1UB40UCDxl— Documenting zkSync 📄 (@DocumentzkSync) April 26, 2023
Разработчики биржи заявили о расследовании возможного взлома и рекомендовали пользователям отозвать одобрения для всех смарт-контрактов. Дополнительную информацию они обещали предоставить позднее.
Developer announcement 📢 Can everyone revoke connected site access on your wallets/sign permission https://t.co/YRxH7IUU4TWe are analysing the exploit of our protocol and would stress that everyone carries out this step as a precaution.More updates will be provided— Merlin (@TheMerlinDEX) April 26, 2023
Инцидент произошел сразу же после запуска основных пулов доходного фермерства платформы. 24 апреля повторный аудит безопасности кодовой базы Merlin завершила компания CertiK.
Специалисты последней заявили, что предварительное расследование указало на потенциальную проблему с управлением закрытыми ключами как основную причину несанкционированного вывода средств, а не эксплойт.
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.While audits cannot prevent private key issues, we always highlight best practices to projects.Should any foul…— CertiK (@CertiK) April 26, 2023
"Хотя аудиты не могут предотвратить проблемы с ключами, мы всегда выделяем лучшие практики для проектов. В случае обнаружения каких-либо нечестных действий мы будем работать с соответствующими органами и делиться информацией", — заявили в CertiK.
Команда DEX eZKalibur предположительно идентифицировала вредоносный код в ПО Merlin, который позволил украсть активы. Биржи используют код смарт-контрактов аналогичный с еще одной децентрализованной платформой в сети zkSync Era — Camelot.
📢 We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
В отличие от конкурентов, в функции реализации контракта Merlin добавлены две строчки, которые делают возможным вывод на собственный адрес неограниченного количества токенов.
Выводы eZKalibur подтвердили разработчики некоторых других проектов. Пользователи предположили реализацию командой Merlin мошеннической схемы rug-pull.
btw Merlin is a 100% rug, It approves uint256 max to feesto address (deployer) which let it get drainedLP tokens can be withdrawn but liq can't be removed for the same reason, there are no funds left in the poolSource: @overnight_fi team member pic.twitter.com/QyZJZwCrPx— yieldfarming (@delucinator) April 26, 2023
У комментаторов также возникли вопросы к качеству аудита CertiK.
100% RUG 🤡, Their contract approves the tokens to the deployer. Bizarrely, @CertiK 's audit has no hints pic.twitter.com/WCtdT2p2ib— ConnorRepeat 🛸 (@ConnorRepeat) April 26, 2023
Напомним, в начале апреля DeFi-протокол Terraport Finance в сети Terra Classic подвергся хакерской атаке на $2 млн спустя десять дней после официального запуска.
