​​Eksploitasi atau Tarik Permadani? $1.8 Juta Dikuras Dari zkSync DEX Merlin Meskipun Ada Audit

DEX yang diaudit CertiK kehilangan jutaan dolar dari kumpulan likuiditasnya selama penjualan publik token MAGE-nya.

Crypto senilai lebih dari satu juta dolar diekstraksi dari pertukaran terdesentralisasi (DEX) berbasis zkSync Merlin. 

Data blockchain menunjukkan bahwa USDC, ETH, dan mata uang kripto lainnya senilai sekitar $1.8 juta telah terkuras dari Merlin tidak lama setelah dimulainya prapenjualannya. 

Awal bulan ini, tim Merlin tersebut bahwa kumpulan pertanian intinya dan penjualan publik hanya akan diluncurkan setelah perusahaan keamanan blockchain CertiK menyelesaikan auditnya atas kontrak pintar protokol. 

Audit CertiK tidak menemukan masalah kritis dan Merlin meluncurkan penjualan publik tiga hari yang menawarkan token MAGE untuk menghasilkan likuiditas – sesuatu yang ternyata berumur pendek mengingat dana tersebut dihapus dari kumpulan likuiditas protokol kurang dari sehari setelah mereka ditayangkan.

CertiK membahas eksploit dalam pernyataan yang diposting ke Twitter, mengatakan bahwa akar penyebab kemungkinan terkait dengan manajemen kunci pribadi yang tidak memadai daripada eksploit eksternal.

Kami sedang menyelidiki secara aktif @TheMerlinDEX kejadian. Temuan awal menunjukkan potensi masalah manajemen kunci pribadi daripada eksploit sebagai akar penyebab.

Meskipun audit tidak dapat mencegah masalah kunci pribadi, kami selalu menyoroti praktik terbaik untuk proyek.

Jika ada pelanggaran…

— CertiK (@CertiK) 26 April, 2023

Namun, beberapa pengamat insiden tersebut merasa sulit untuk percaya bahwa kode berbahaya dalam kontrak pintar Merlin dilewatkan oleh auditor blockchain. 

“Dua baris kode dalam fungsi inisialisasi ini pada dasarnya memberikan persetujuan untuk alamat feeTo untuk mentransfer jumlah token256 dan token0 yang tidak terbatas (type(uint1).max) dari alamat kontrak,” tweeted eZKalibur, DEX berbasis zkSync lainnya.

“Dalam hal ini, alamat feeTo berpotensi memanggil fungsi transferFrom pada masing-masing token untuk mentransfer token dari alamat kontrak ke dirinya sendiri,” tambah mereka. 

Pada dasarnya, basis kode tampaknya menyertakan fungsi yang memungkinkan pemilik mentransfer semua dana dari kumpulan likuiditas yang terbentuk, menunjuk ke pekerjaan orang dalam.

Namun, tidak seperti tarikan permadani biasa di industri di mana proyek menghapus semua jejak kehadiran online-nya, para pengembang Merlin tweeted meminta pengguna untuk mencabut izin dompet mereka sebagai tindakan pencegahan. 

Beberapa pengguna percaya bahwa exploit itu direncanakan dan diatur sendiri oleh pendiri proyek, sementara anggota tim lainnya tidak tahu apa-apa. Pada saat penulisan, tidak jelas pihak mana yang terlibat. 

tim benar-benar dalam kegelapan🥴

dan @AtlasIsMe adalah orang yang seorang diri menjadikan Merlin tawaran yang lebih baik

tangkapan layar terakhir ada di Merlin <> Zksync TG (saya melakukan intro sebagai tugas penasehat) jelas kami dapat mengatakan bahwa ini adalah f

pada dasarnya, pendiri adalah satu-satunya orang di kontrak? https://t.co/wiacfV8sLY pic.twitter.com/dAOlEDC3Pa

— 禅 (@xen) 26 April, 2023