rbc.ru
Децентрализованная биржа Merlin, работающая в экосистеме zkSync, была взломана на сумму более $1 млн сразу после того, как прошла аудит программного кода от экспертов по смарт-контрактам компании Certik.
Утром 26 апреля злоумышленники вывели из Merlin стейблкоины USD Coin (USDC) на сумму около $850 тыс. и несколько других относительно неликвидных токенов. Данные в блокчейне свидетельствуют о том, что средства смог вывести некий субъект, контролирующий пул ликвидности биржи. Это может говорить о том, что атака не была технически изощренной, а сама кража могла быть делом рук инсайдера проекта.
Атака произошла, несмотря на то, что Merlin прошла аудит от CertiK — лидера на рынке аудита программного кода блокчейн-проектов. В заключении сервиса по итогам аудита Merlin говорится, что в коде биржи «нет критических уязвимостей».
Представители Certik написали в соцсетях, что расследуют инцидент. Их первоначальные выводы указывают на потенциальную проблему с управлением закрытыми криптографическими ключами проекта, дающими доступ к средствам. «Аудит не может полностью предотвратить проблемы с ключами, но мы всегда обращаем внимание проектов на лучшие практики», — заявили в Certik.
Разработчики Merlin попросили пользователей отозвать разрешения кошельков, подключенных к его сайту. Они утверждают, что анализируют возможную уязвимость протокола, но на момент публикации не давали каких-либо комментариев.
За разработкой блокчейна «второго уровня» zkSync стоит компания Matter Labs. В ноябре 2022 года она провела несколько инвестиционных раундов на общую сумму $258 млн с участием LightSpeed, Andreessen Horowitz и крупных венчурных криптофондов — Blockchain Capital и Dragonfly.
Проект считается потенциальным кандитатом на раздачу токенов в виде эирдропа за активность в проектах его экосистемы, среди которых, в том числе, взломанная платформа Merlin.