Sàn giao dịch phi tập trung (DEX) Merlin dựa trên Ethereum, sử dụng đồng bộ hóa không kiến thức (zkSync), đã mất hơn 1,8 triệu đô la tiền khai thác nhóm thanh khoản trong vòng vài giờ sau khi công ty bảo mật hợp đồng thông minh CertiK kiểm tra mã của nó.
Tin tặc xảy ra Sáng thứ Tư trong đợt Bán công khai của Merlin’s Origin tokenMAGE, kẻ tấn công đã đánh cắp nhiều tài sản, bao gồm cả USD Coin (USDC), Ether (ETH) và các mã thông báo kém thanh khoản khác.
LP của Merlin cạn kiệt sau khi kiểm tra mã
Vài giờ sau khi khai thác, CertiK tweet Nó đang điều tra vụ việc và làm việc để hiểu tác động của nó đối với cộng đồng.Công ty bảo mật tiết lộ rằng những phát hiện sơ bộ của họ cho thấy các vấn đề về quản lý khóa riêng có thể đã dẫn đến vụ hack, chứ không phải là phát triểnnhư thường được tin tưởng.
CertiK cho biết họ đã xác định các rủi ro tập trung hóa trong phần “Nỗ lực phi tập trung hóa” trong báo cáo kiểm toán Merlin gần đây. Công ty khẳng định rằng mặc dù kiểm toán không thể ngăn chặn các vấn đề về khóa riêng, nhưng họ luôn đảm bảo làm nổi bật các phương pháp hay hơn cho các dự án.
Như đã tuyên bố trong cuộc kiểm toán ngày 24 tháng 4 năm 2023, CertiK tôn trọng Merlin phát triển vai trò tập trung của mình thành một cơ chế phi tập trung, chẳng hạn như ví đa chữ ký, để tăng cường các hoạt động bảo mật. Công ty cũng yêu cầu giao thức triển khai tính năng khóa thời gian với độ trễ ít nhất 48 giờ để tránh lỗi quản lý khóa duy nhất. CertiK cũng cam kết hợp tác với các cơ quan hữu quan nếu phát hiện ra bất kỳ hành vi vi phạm nào.
“Chúng tôi khuyến khích tất cả các thành viên cộng đồng xem xét đầy đủ thông tin này và tất cả các cuộc kiểm tra. Khi chúng tôi điều hướng tình huống đầy thách thức này, chúng tôi muốn đảm bảo với bạn rằng chúng tôi đang thực hiện tất cả các bước cần thiết để bảo vệ lợi ích của cộng đồng của chúng tôi”, CertiK cho biết.
Đã phát hiện mã độc
Thật thú vị, một zkSync DEX và launchpad eZKalibur khác, tiết lộ Nó đã xác định được mã độc cho phép tin tặc rút tiền của Merlin. DEX nói rằng hai dòng mã đã được tìm thấy trong chức năng khởi tạo và địa chỉ feeTo đã được cung cấp đồng ý với Chuyển số lượng mã thông báo không giới hạn từ một địa chỉ hợp đồng.
📢 Chúng tôi đã thực hiện một số nghiên cứu về hợp đồng thông minh Merlin và xác định được mã độc khiến tiền cạn kiệt.
Hai dòng mã này trong hàm khởi tạo về cơ bản cấp phép chuyển địa chỉ feeTo không giới hạn(type(uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) Ngày 26 tháng 4 năm 2023
Trong khi đó, đội Merlin có hỏi Người dùng thu hồi quyền truy cập vào các trang web được kết nối trên ví của họ trong khi phân tích nguyên nhân khai thác.
