zkSync kullanan bir merkeziyetsiz borsa Merlin, yaklaşık olarak 1,82 milyon dolar saldırıya uğradı.
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
— CertiK (@CertiK) April 26, 2023
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
Merlin olayını aktif olarak araştırıyoruz. İlk bulgular, temel neden olarak bir istismardan ziyade potansiyel bir özel anahtar yönetimi sorununa işaret ediyor.
Denetimler özel anahtar sorunlarını önleyemese de projeler için her zaman en iyi uygulamaları belirliyoruz.
Herhangi bir suistimal tespit edilmesi halinde, ilgili makamlarla birlikte çalışacak ve ilgili bilgileri paylaşacağız. Güncellemeler için bizi izlemeye devam edin.
Bir zkSync DEX olan eZKalibur, Merlin'in akıllı sözleşmesinde sorunlu koda dair kanıt bulduğunu iddia ediyor.
zkSync kullanan bir merkeziyetsiz borsa olan Merlin, akıllı sözleşme denetçisi CertiK'ten bir kod denetimi aldıktan hemen sonra 1,82 milyon doların üzerinde saldırıya uğramış gibi görünüyor.
CertiK, olayı araştırdığını ve ilk bulgularının özel anahtar yönetimiyle ilgili potansiyel bir soruna işaret ettiğini, kod istismarının söz konusu olmadığını belirten bir tweet attı. Bu arada, Merlin gibi DEX Camelot'un sözleşmesinin bir kısmını fork'layan bir zkSync merkeziyetsiz borsa ve launchpad olan eZKalibur, fonların boşaltılmasından sorumlu kötü niyetli kodu tespit ettiğini iddia ediyor.
eZKalibur, CertiK ve Merlin
eZKalibur, CertiK'in denetiminin kalitesini sorgularken şu açıklamayı yaptı:
"Launchpad'deki bu iki kod satırı, feeTo adresine sözleşmenin adresinden sınırsız (type(uint256).max) miktarda token0 ve token1 transfer etmesi için onay veriyor. Bu durumda, feeTo adresi, token'ları sözleşmenin adresinden kendisine aktarmak için ilgili token'lar üzerinde transferFrom işlevini kullanabilir."
CertiK, DEX denetiminde Merlin'in merkeziyetsizleşme riskini vurguladığını tweetlemiş olsa da, bazıları bir rug pull riskinin vurgulanması gerektiğini düşünüyor. Böyle bir bulgu kritik değilse bile en azından önemli olarak rapor edilmelidir. eZKalibur, The Block'a yaptığı açıklamada şunları da söyledi:
"Bu sorun, gizli ve basit bir merkeziyetsizlik sorunu olarak işaretlenemez. Çünkü bir zaman kilidi olmadan, protokole yatırılan fonların tamamının anında boşaltılmasına yol açabilir, ki tam olarak olan da budur."
Merlin geliştiricileri o zamandan beri kullanıcılardan web sitesine bağlı cüzdan izinlerini iptal etmelerini istedi. Protokolün istismarını analiz ettiklerini iddia ediyorlar.