У DEX Merlin украли более $1 млн сразу после аудита
Децентрализованная биржа Merlin, работающая в экосистеме zkSync, была взломана на сумму более $1 млн сразу после того, как прошла аудит программного кода от экспертов по смарт-контрактам компании Certik, сообщает РБК Крипто.
Утром 26 апреля злоумышленники вывели из Merlin стейблкоины USD Coin (USDC) на сумму около $850 тыс. и несколько других относительно неликвидных токенов. Данные в блокчейне свидетельствуют о том, что средства смог вывести некий субъект, контролирующий пул ликвидности биржи. Это может говорить о том, что атака не была технически изощренной, а сама кража могла быть делом рук инсайдера проекта.
Атака произошла, несмотря на то, что Merlin прошла аудит от Certik — лидера на рынке аудита программного кода блокчейн-проектов. В заключении сервиса по итогам аудита Merlin говорится, что в коде биржи «нет критических уязвимостей».
Представители Certik написали в соцсетях, что расследуют инцидент. Их первоначальные выводы указывают на потенциальную проблему с управлением закрытыми криптографическими ключами проекта, дающими доступ к средствам.
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
— CertiK (@CertiK) April 26, 2023
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
Разработчики Merlin попросили пользователей отозвать разрешения кошельков, подключенных к его сайту. Они утверждают, что анализируют возможную уязвимость протокола, но на момент публикации не давали каких-либо комментариев.
За разработкой блокчейна «второго уровня» zkSync стоит компания Matter Labs. В ноябре 2022 года она провела несколько инвестиционных раундов на общую сумму $258 млн с участием LightSpeed, Andreessen Horowitz и крупных венчурных криптофондов — Blockchain Capital и Dragonfly.
Проект считается потенциальным кандидатом на раздачу токенов в виде эирдропа за активность в проектах его экосистемы, среди которых в том числе взломанная платформа Merlin.
Источник: cryptocurrency.tech