ru
Назад к списку

У DEX Merlin украли более $1 млн сразу после аудита

source-logo  cryptocurrency.tech 26 Апрель 2023 09:43, UTC

Децентрализованная биржа Merlin, работающая в экосистеме zkSync, была взломана на сумму более $1 млн сразу после того, как прошла аудит программного кода от экспертов по смарт-контрактам компании Certik, сообщает РБК Крипто.

Утром 26 апреля злоумышленники вывели из Merlin стейблкоины USD Coin (USDC) на сумму около $850 тыс. и несколько других относительно неликвидных токенов. Данные в блокчейне свидетельствуют о том, что средства смог вывести некий субъект, контролирующий пул ликвидности биржи. Это может говорить о том, что атака не была технически изощренной, а сама кража могла быть делом рук инсайдера проекта.

Атака произошла, несмотря на то, что Merlin прошла аудит от Certik — лидера на рынке аудита программного кода блокчейн-проектов. В заключении сервиса по итогам аудита Merlin говорится, что в коде биржи «нет критических уязвимостей».

Представители Certik написали в соцсетях, что расследуют инцидент. Их первоначальные выводы указывают на потенциальную проблему с управлением закрытыми криптографическими ключами проекта, дающими доступ к средствам.

We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.

While audits cannot prevent private key issues, we always highlight best practices to projects.

Should any foul…

— CertiK (@CertiK) April 26, 2023

«Аудит не может полностью предотвратить проблемы с ключами, но мы всегда обращаем внимание проектов на лучшие практики», — заявили в Certik.

Разработчики Merlin попросили пользователей отозвать разрешения кошельков, подключенных к его сайту. Они утверждают, что анализируют возможную уязвимость протокола, но на момент публикации не давали каких-либо комментариев.

За разработкой блокчейна «второго уровня» zkSync стоит компания Matter Labs. В ноябре 2022 года она провела несколько инвестиционных раундов на общую сумму $258 млн с участием LightSpeed, Andreessen Horowitz и крупных венчурных криптофондов — Blockchain Capital и Dragonfly.

Проект считается потенциальным кандидатом на раздачу токенов в виде эирдропа за активность в проектах его экосистемы, среди которых в том числе взломанная платформа Merlin.

cryptocurrency.tech