happycoin.club
Децентрализованная биржа Merlin, использующая решение для масштабирования уровня 2 с нулевым разглашением zkSync, взломана сразу после аудита кода компанией Certik. Предварительные потери превышают $ 1,82 млн.
В Certik написали в запрещённом в России Твиттере, что расследуют инцидент и первичные выводы указывают на возможную проблему с управлением приватными ключами, таким образом, проблема необязательно заключена в коде:
Если будет обнаружена нечестная игра, мы обратимся в соответствующие органы и будет делиться с ними необходимой информацией. Следите за новостями.
Команда децентрализованной биржи eZKalibur, которая как и Merlin интегрировала аналогичное решение, утверждает, что идентифицировала вредоносный код, ответственный за кражу средств:
Эти две строки кода в функции инициализации, по сути, дают разрешение адресу feeTo на передачу неограниченного (типа (uint256).max) количества токенов 0 и токенов 1 с адреса контракта.
В этом случае адрес FeeTo может вызвать функцию TransferFrom для передачи токенов с адреса контракта на себя.
В этом случае нельзя исключать злонамеренные действия кого-либо из сотрудников Merlin, такие инциденты уже получили обозначение «выдёргивание коврика».
Тем временем разработчики Merlin попросили пользователей отозвать разрешения кошелька, связанные с их сайтом. Сейчас они анализируют протокол на предмет уязвимости.