Децентрализованная биржа Merlin на базе решения второго уровня zkSync Era потеряла в результате предполагаемого эксплойта активы примерно на $1,82 млн сразу после аудита CertiK.
🚨 URGENT: @TheMerlinDEX has been HACKED! 🚨
— Documenting zkSync 📄 (@DocumentzkSync) April 26, 2023
Over $1.82M stolen from investors as LP drains. If you've interacted with their contracts, revoke your wallet IMMEDIATELY! ⚠️
Revoke here 👉 https://t.co/SdEInOVqZp
Help warn others — RETWEET this vital info! 🙏 pic.twitter.com/1UB40UCDxl
Разработчики биржи заявили о расследовании возможного взлома и рекомендовали пользователям отозвать одобрения для всех смарт-контрактов. Дополнительную информацию они обещали предоставить позднее.
Developer announcement 📢
— Merlin (@TheMerlinDEX) April 26, 2023
Can everyone revoke connected site access on your wallets/sign permission https://t.co/YRxH7IUU4T
We are analysing the exploit of our protocol and would stress that everyone carries out this step as a precaution.
More updates will be provided
Инцидент произошел сразу же после запуска основных пулов доходного фермерства платформы. 24 апреля повторный аудит безопасности кодовой базы Merlin завершила компания CertiK.
Специалисты последней заявили, что предварительное расследование указало на потенциальную проблему с управлением закрытыми ключами как основную причину несанкционированного вывода средств, а не эксплойт.
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
— CertiK (@CertiK) April 26, 2023
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
«Хотя аудиты не могут предотвратить проблемы с ключами, мы всегда выделяем лучшие практики для проектов. В случае обнаружения каких-либо нечестных действий мы будем работать с соответствующими органами и делиться информацией», — заявили в CertiK.
Команда DEX eZKalibur предположительно идентифицировала вредоносный код в ПО Merlin, который позволил украсть активы. Биржи используют код смарт-контрактов аналогичный с еще одной децентрализованной платформой в сети zkSync Era — Camelot.
📢 We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB
В отличие от конкурентов, в функции реализации контракта Merlin добавлены две строчки, которые делают возможным вывод на собственный адрес неограниченного количества токенов.
Выводы eZKalibur подтвердили разработчики некоторых других проектов. Пользователи предположили реализацию командой Merlin мошеннической схемы rug-pull.
btw Merlin is a 100% rug,
— yieldfarming (@delucinator) April 26, 2023
It approves uint256 max to feesto address (deployer) which let it get drained
LP tokens can be withdrawn but liq can't be removed for the same reason, there are no funds left in the pool
Source: @overnight_fi team member pic.twitter.com/QyZJZwCrPx
У комментаторов также возникли вопросы к качеству аудита CertiK.
100% RUG 🤡, Their contract approves the tokens to the deployer. Bizarrely, @CertiK 's audit has no hints pic.twitter.com/WCtdT2p2ib
— ConnorRepeat 🛸 (@ConnorRepeat) April 26, 2023
Напомним, в начале апреля DeFi-протокол Terraport Finance в сети Terra Classic подвергся хакерской атаке на $2 млн спустя десять дней после официального запуска.