Биржа Merlin была взломана сразу после аудита безопасности от CertiK
Ущерб от взлома превышает 1,82 млн долларов
26.04.2023 - 13:40
809
4 мин
0
Что произошло? Децентрализованная биржа (DEX) Merlin, работающая на основе zkSync (решение для масштабирования блокчейна Ethereum), подверглась взлому сразу после прохождения аудита кода смарт-контракта от компании по кибербезопасности Certik. Общий ущерб от инцидента превысил 1,82 млн долларов.
Что еще известно? Представители CertiK сообщили, что расследуют инцидент, а первые выводы указывают на потенциальную проблему с управлением закрытыми ключами, и это необязательно связано с эксплойтом кода.
В CertiK указали, что хотя аудит и не может предотвратить проблемы с закрытыми ключами, специалисты всегда обращают внимание проектов на лучшие практики. В случае обнаружения мошенничества CertiK поделиться информацией с соответствующими органами.
Тем временем представители eZKalibur, другой DEX на базе zkSync, сообщили, что обнаружили вредоносный код, ответственный за потерю средств.
Они написали, что две строки в коде дают разрешение определенному адресу на передачу неограниченного количества токенов с адреса контракта. В eZKalibur усомнились в качестве аудита, проведенного CertiK. По мнению экспертов, обнаружение подобной проблемы в коде должно было быть помечено специалистами по кибербезопасности как серьезное или даже критическое.
«Это не может быть обозначено как скрытая и простая проблема децентрализации, поскольку без временной блокировки это может привести к немедленному сливу всей суммы средств, размещенных на протоколе, что и произошло», — заявил в комментарии The Block представитель eZKalibur.
Разработчики Merlin призвали пользователей отключить кошельки от сайта биржи.
14 апреля криптобиржа Bitrue обнаружила уязвимость в одном из горячих кошельков. С ее помощью хакеры вывели цифровые активы на сумму около 23 млн долларов.
13 апреля эксперты PeckShield сообщили об эксплойте DeFi-протокола Yearn Finance, в результате которого проект потерял 11,6 млн долларов. Хакер использовал ошибку в стейблкоине yUSDT для выпуска 1,2 квадриллиона монет, используя начальный депозит в $10 000.
А 9 апреля хакеры перевели с горячего кошелька южнокорейской криптобиржи GDAC почти 13 млн долларов или 23% от общего объема ее цифровых активов. В тот же день эксплойту подверглась DEX SushiSwap. Из-за ошибки в смарт-контракте платформа потеряла 3,3 млн долларов в ETH.
Полезный материал?
Рынки
Эмитент USDT в ответ заявил, что в отчете не хватает данных в поддержку таких утверждений
10 мая 2024 г.
Происшествия
О нарушении правил Binance сообщил глава ее отдела мониторинга, который позднее был уволен
9 мая 2024 г.
Тренды
В апреле выход проекта на криптобиржу дважды откладывался
9 мая 2024 г.
Происшествия
Пользователей призвали вывести средства до полного закрытия сайта 7 ноября
8 мая 2024 г.
Рынки
Отток сохраняется на протяжении четырех недель
7 мая 2024 г.
Рынки
На момент получения активы оценивались в $630 000
6 мая 2024 г.