Sàn DEX Merlin trên zkSync bị đánh cắp hơn 1.82 triệu USD
Theo dữ liệu từ PeckShield, kẻ tấn công đã đánh cắp tổng 1.82 triệu USD dưới dạng các đồng USDC, TAROT và ETH từ pool thanh khoản của Merlin. Sau đó, hacker đã chuyển số tiền này sang mạng Ethereum.
#PeckShieldAlert Our community contributor has reported that Merlin #DEX on #zksync was exploited. One of the exploiters 0x2744...9b7 has grabbed ~850K $USDC and bridged them to #Ethereum https://t.co/hfgjJJY7Ml pic.twitter.com/07uSGMAt7e
— PeckShieldAlert (@PeckShieldAlert) April 26, 2023
Trên Twitter, Certik cho biết đang điều tra vụ việc và nhấn mạnh nguyên nhân đến từ vấn đề về private key, không phải lỗi đến từ mã code.
"Trong khi các bản đánh giá không thể ngăn chặn các vấn đề liên quan đến private key, chúng tôi luôn đưa ra các phương pháp tốt nhất cho các dự án. Nếu phát hiện bất kỳ hành vi gian lận nào, chúng tôi sẽ làm việc với các cơ quan và chia sẻ thông tin liên quan. Hãy đợi thông tin cập nhật”, Certik nói thêm.
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
— CertiK (@CertiK) April 26, 2023
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
Các nhà phát triển của Merlin sau đó đã kêu gọi người dùng thu hồi quyền truy cập ví (revoke) được kết nối với trang web của họ. Dự án cho biết họ đang phân tích lỗ hổng của giao thức.
Developer announcement 📢
— Merlin (@TheMerlinDEX) April 26, 2023
Can everyone revoke connected site access on your wallets/sign permission https://t.co/YRxH7IUU4T
We are analysing the exploit of our protocol and would stress that everyone carries out this step as a precaution.
More updates will be provided
Trong khi đó, eZKalibur, sàn giao dịch phi tập trung trên zkSync, đã phát hiện ra mã độc dẫn đến việc bị tấn công.
“Hai dòng mã trong lệnh khởi tạo có thành phần (type(uint256).max), cho phép địa chỉ feeTo được phép chuyển đổi một số lượng không giới hạn token0 và token1 từ địa chỉ hợp đồng", eZKalibur giải thích trong khi cảnh báo về chất lượng kiểm tra của Certik.
Dự án nói thêm, trong trường hợp này, địa chỉ feeTo có thể thực hiện lệnh “transferFrom” trên các token tương ứng để chuyển token từ địa chỉ hợp đồng sang địa chỉ của mình.
📢 We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB
zkSync là layer 2 vẫn đang phát triển và ra đã mắt Alpha Mainnet vào ngày 24/3. Gần đây, layer 2 này đã vướng phải một số vấn đề liên quan đến bảo mật. Như Interlock đưa tin, ngày 14/4, tài khoản Twitter @zksync thông báo bị hack. 10 tiếng sau, vụ việc đã được giải quyết với sự hỗ trợ của Twitter. Ngày 7/4, dự án Gemholic trên zkSync đã bị mắc kẹt 921 ETH tiền mở bán token trong smart contract sau khi thực hiện lệnh chuyển tiền. Đội ngũ zkSync đã hỗ trợ dự án lấy lại số tiền này.