zkSync DEX Merlin был взломан на 1,82 миллиона долларов

Merlin, децентрализованная биржа, использующая zkSync, по-видимому, была взломана на сумму более 1,82 миллиона долларов сразу после аудита кода от аудитора смарт-контрактов Certik. Certik написал, что расследует инцидент и что его первоначальные выводы предполагают потенциальную проблему с управлением закрытыми ключами — не обязательно эксплойт кода. «Хотя аудиты не могут предотвратить проблемы с закрытыми ключами, мы всегда выделяем лучшие практики для проектов», — сказал Certik. «Если будет обнаружена какая-либо нечестная игра, мы будем работать с соответствующими органами и делиться соответствующей информацией. Следите за обновлениями». Между тем, eZKalibur — децентрализованная биржа и панель запуска zkSync, которая, как и Merlin, разделила часть контракта DEX Camelot, — утверждает , что идентифицировала вредоносный код, ответственный за слив средств. «Эти две строки кода в функции инициализации, по сути, дают разрешение на адрес feeTo для передачи неограниченного ( type(uint256).max ) количества token0 и token1 с адреса контракта», — пояснил он, ставя под сомнение качество аудита Certik. «В этом случае адрес FeeTo потенциально может вызвать функцию TransferFrom для соответствующих токенов для передачи токенов с адреса контракта на себя». Подобное открытие следует квалифицировать минимум как «важное», если не «критическое». eZKalibur прокомментировал: «Это не может быть помечено как скрытая и простая проблема децентрализации, поскольку без временной блокировки это может привести к немедленному сливу всех средств, депонированных в протоколе, что именно и случилось.» С тех пор разработчики Merlin попросили пользователей отозвать разрешения кошелька, связанные с их веб-сайтом. Они утверждают, что анализируют эксплойт протокола.
Источник: acryptoinvest.news

kak-raz