28/04/23
Децентрализованная биржа Merlin (DEX), работающая на основе zkSync - решения для масштабирования блокчейна Ethereum - подверглась взлому сразу после прохождения аудита кода смарт-контракта от компании по кибербезопасности Certik. Общий ущерб от инцидента превысил 1,82 млн долларов.
Инцидент произошел сразу же после запуска основных пулов доходного фермерства платформы. 24 апреля повторный аудит безопасности кодовой базы Merlin завершила компания CertiK.
Разработчики биржи заявили о расследовании возможного взлома и рекомендовали пользователям отозвать одобрения для всех смарт-контрактов. Дополнительную информацию они обещали предоставить позднее.
Представители CertiK также сообщили, что расследуют инцидент, и первые выводы указывают на потенциальную проблему с управлением закрытыми ключами, что не обязательно связано с эксплойтом кода.
В CertiK отметили, что хотя аудит не может предотвратить проблемы с закрытыми ключами, специалисты всегда обращают внимание на лучшие практики проектов. В случае обнаружения мошенничества CertiK поделится информацией с соответствующими органами.
В то же время, представители eZKalibur, другой DEX на базе zkSync, сообщили о обнаружении вредоносного кода, ответственного за потерю средств, передают Securitylab. Они отметили, что две строки в коде позволяют определенному адресу передавать неограниченное количество токенов с адреса контракта. Разработчики eZKalibur усомнились в качестве аудита, проведенного CertiK, поскольку эксперты считают, что обнаружение подобной проблемы в коде должно было быть помечено как серьезное или даже критическое.
