Merlin, децентрализованная биржа, использующая zkSync, по-видимому, была взломана на сумму более 1,82 миллиона долларов сразу после аудита кода от аудитора смарт-контрактов Certik.
Certik написал, что расследует инцидент и что его первоначальные выводы предполагают потенциальную проблему с управлением закрытыми ключами — не обязательно эксплойт кода. «Хотя аудиты не могут предотвратить проблемы с закрытыми ключами, мы всегда выделяем лучшие практики для проектов», — сказал Certik. «Если будет обнаружена какая-либо нечестная игра, мы будем работать с соответствующими органами и делиться соответствующей информацией. Следите за обновлениями».
Между тем, eZKalibur — децентрализованная биржа и панель запуска zkSync, которая, как и Merlin, разделила часть контракта DEX Camelot, — утверждает , что идентифицировала вредоносный код, ответственный за слив средств.
«Эти две строки кода в функции инициализации, по сути, дают разрешение на адрес feeTo для передачи неограниченного ( type(uint256).max ) количества token0 и token1 с адреса контракта», — пояснил он, ставя под сомнение качество аудита Certik. «В этом случае адрес FeeTo потенциально может вызвать функцию TransferFrom для соответствующих токенов для передачи токенов с адреса контракта на себя».
Подобное открытие следует квалифицировать минимум как «важное», если не «критическое». eZKalibur прокомментировал: «Это не может быть помечено как скрытая и простая проблема децентрализации, поскольку без временной блокировки это может привести к немедленному сливу всех средств, депонированных в протоколе, что именно и случилось.»
С тех пор разработчики Merlin попросили пользователей отозвать разрешения кошелька, связанные с их веб-сайтом. Они утверждают, что анализируют эксплойт протокола.
