Загрузка...
Децентрализованная биржа Merlin, использующая решение для масштабирования уровня 2 с нулевым разглашением zkSync, взломана сразу после аудита кода компанией Certik. Предварительные потери превышают $ 1,82 млн.
В Certik написали в запрещённом в России Твиттере, что расследуют инцидент и первичные выводы указывают на возможную проблему с управлением приватными ключами, таким образом, проблема необязательно заключена в коде:
Если будет обнаружена нечестная игра, мы обратимся в соответствующие органы и будет делиться с ними необходимой информацией. Следите за новостями.
Команда децентрализованной биржи eZKalibur, которая как и Merlin интегрировала аналогичное решение, утверждает, что идентифицировала вредоносный код, ответственный за кражу средств:
Эти две строки кода в функции инициализации, по сути, дают разрешение адресу feeTo на передачу неограниченного (типа (uint256).max) количества токенов 0 и токенов 1 с адреса контракта.
В этом случае адрес FeeTo может вызвать функцию TransferFrom для передачи токенов с адреса контракта на себя.
В этом случае нельзя исключать злонамеренные действия кого-либо из сотрудников Merlin, такие инциденты уже получили обозначение «выдёргивание коврика».
Тем временем разработчики Merlin попросили пользователей отозвать разрешения кошелька, связанные с их сайтом. Сейчас они анализируют протокол на предмет уязвимости.
Информация на сайте носит исключительно информационный и образовательный характер и не является инвестиционной рекомендацией или финансовым советом. Криптовалюты и цифровые активы связаны с высоким уровнем риска, включая возможную потерю капитала. Редакция не несёт ответственности за решения, принятые на основе опубликованных материалов. Перед принятием инвестиционных решений рекомендуется проводить собственное исследование (DYOR). Ознакомиться с редакционной политикой https://happycoin.club/about/
