Биржа Merlin была взломана сразу после аудита безопасности от CertiK
Ущерб от взлома превышает 1,82 млн долларов
26.04.2023 - 13:40
802
4 мин
0
Что произошло? Децентрализованная биржа (DEX) Merlin, работающая на основе zkSync (решение для масштабирования блокчейна Ethereum), подверглась взлому сразу после прохождения аудита кода смарт-контракта от компании по кибербезопасности Certik. Общий ущерб от инцидента превысил 1,82 млн долларов.
Что еще известно? Представители CertiK сообщили, что расследуют инцидент, а первые выводы указывают на потенциальную проблему с управлением закрытыми ключами, и это необязательно связано с эксплойтом кода.
В CertiK указали, что хотя аудит и не может предотвратить проблемы с закрытыми ключами, специалисты всегда обращают внимание проектов на лучшие практики. В случае обнаружения мошенничества CertiK поделиться информацией с соответствующими органами.
Тем временем представители eZKalibur, другой DEX на базе zkSync, сообщили, что обнаружили вредоносный код, ответственный за потерю средств.
Они написали, что две строки в коде дают разрешение определенному адресу на передачу неограниченного количества токенов с адреса контракта. В eZKalibur усомнились в качестве аудита, проведенного CertiK. По мнению экспертов, обнаружение подобной проблемы в коде должно было быть помечено специалистами по кибербезопасности как серьезное или даже критическое.
«Это не может быть обозначено как скрытая и простая проблема децентрализации, поскольку без временной блокировки это может привести к немедленному сливу всей суммы средств, размещенных на протоколе, что и произошло», — заявил в комментарии The Block представитель eZKalibur.
Разработчики Merlin призвали пользователей отключить кошельки от сайта биржи.
14 апреля криптобиржа Bitrue обнаружила уязвимость в одном из горячих кошельков. С ее помощью хакеры вывели цифровые активы на сумму около 23 млн долларов.
13 апреля эксперты PeckShield сообщили об эксплойте DeFi-протокола Yearn Finance, в результате которого проект потерял 11,6 млн долларов. Хакер использовал ошибку в стейблкоине yUSDT для выпуска 1,2 квадриллиона монет, используя начальный депозит в $10 000.
А 9 апреля хакеры перевели с горячего кошелька южнокорейской криптобиржи GDAC почти 13 млн долларов или 23% от общего объема ее цифровых активов. В тот же день эксплойту подверглась DEX SushiSwap. Из-за ошибки в смарт-контракте платформа потеряла 3,3 млн долларов в ETH.
Полезный материал?
Рынки
Средства могут быть изъяты правоохранителями из-за связи с незаконной деятельностью
26 апр. 2024 г.
Рынки
Осуществлять выпуск и погашение стейблкоинов USDT будет подразделение Tether Finance
18 апр. 2024 г.
Тренды
Первым представленным на платформе проектом станет BounceBit (BB)
18 апр. 2024 г.
Бизнес
Курс нативного токена ACH отреагировал ростом на 10%
18 апр. 2024 г.
Рынки
Майнеры охотятся за первым блоком после халвинга, поскольку стоимость первого сатоши может превысить 1 млн долларов
18 апр. 2024 г.
Рынки
Платформа будет некастодиальной и доступной для всех желающих
15 апр. 2024 г.