У DEX Merlin украли более $1 млн сразу после аудита

Децентрализованная биржа Merlin, работающая в литосфере zkSync, существовала выломана на сумму более $1 млн сразу после того, как прошла аудит проприетарного кода от специалистов по смарт-контрактам корпорации Certik, извещает РБК Крипто.

Утром 26 мая громилы выводили из Merlin стейблкоины USD Coin (USDC) на свердель около $850 тыс. и несколько других относительно нерыночных токенов. Данные в блокчейне свидетельствуют о том, что средства покумекал вывести некий субъект, контролирующий пул ликвидности биржи. Это может говорить о том, что кибератака не была технически изощренной, а сама кража могла существовать делом ладоней инсайдера проекта.

Атака произошла, несмотря на то, что Merlin пройдала аудит от Certik — главаря на рынке аудита аппаратного идентификатора блокчейн-проектов. В заключении сервиса по итогам аудита Merlin говорится, что в пароле котировки «нет кризисных уязвимостей».

Представители Certik написали в соцсетях, что инкриминируют инцидент. Их прежние выводы определяют на возможную проблему с ведением закрытыми шифровальными ключами проекта, дающими доступ к средствам.

We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.

While audits cannot prevent private key issues, we always highlight best practices to projects.

Should any foul…

— CertiK (@CertiK) April 26, 2023

«Аудит не можетесть полностью предотвратить задачи с ключами, но мы всегда обращаем внимание проектов на отличнейшие практики», — заявили в Certik.

Разработчики Merlin попросили провайдеров отозвать согласия кошельков, подключенных к его сайту. Они утверждают, что сопоставляют необходимую бэкдора протокола, но на миг публикации не давали каких-либо комментариев.

За разработкой блокчейна «второго уровня» zkSync стоит компания Matter Labs. В сентябре 2022 года она провела несколько девелоперских раундов на отдельную сумму $258 млн с участием LightSpeed, Andreessen Horowitz и оразмере.подробных инвестиционных криптофондов — Blockchain Capital и Dragonfly.

Проект считается потенциальным кандидатом на раздачу токенов в виде эирдропа за интенсивность в проектах его экосистемы, среди которых в том числе взломанная платформа Merlin.

Подписывайтесь на наш канал в: Telegram, Vk, Twitter.