در روزهای اخیر مورد جدیدی به حملات هکرها اضافه شده است. مرلین، یک صرافی غیرمتمرکز با استفاده از zkSync، به نظر می رسد که درست پس از دریافت ممیزی کد از بازرس قرارداد هوشمند Certik، به قیمت بیش از 1.82 میلیون دلار هک شده است.
هکر مرلین صرافی غیرمتمرکز مورد حمله قرار گرفت
zkSync DEX Merlin بلافاصله پس از ممیزی کد مورد حمله هکری 1.82 میلیون دلاری قرار گرفت.
سرتیک در توییتی نوشت که در حال بررسی این حادثه است و یافتههای اولیه او به یک مشکل بالقوه در مدیریت کلید خصوصی اشاره دارد، نه نقض کد.
ما به طور فعال در حال بررسی این موضوع هستیم @TheMerlinDEX حادثه. یافتههای اولیه به یک مشکل بالقوه مدیریت کلید خصوصی به جای یک سوء استفاده به عنوان علت اصلی اشاره میکنند.
در حالی که ممیزی نمی تواند از مسائل کلید خصوصی جلوگیری کند، ما همیشه بهترین روش ها را برای پروژه ها برجسته می کنیم.
اگر هر خطایی باید…
— CertiK (@CertiK) 26 آوریل 2023
Certik گفت: «اگرچه ممیزی نمی تواند از مسائل کلید خصوصی جلوگیری کند، ما همیشه بهترین شیوه ها را به پروژه ها توصیه می کنیم. “در صورت شناسایی هر گونه اشکال، ما با مقامات مربوطه همکاری خواهیم کرد و اطلاعات مربوطه را به اشتراک خواهیم گذاشت. منتظر به روز رسانی ها باشید.”
در همین حال، eZKalibur، یک صرافی غیرمتمرکز zkSync و سکوی راهاندازی که مانند مرلین، بخشی از قرارداد DEX Camelot را منعقد میکند، ادعا میکند که کد مخرب مسئول تخلیه وجوه را شناسایی کرده است.
هنگامی که کیفیت ممیزی Certik را زیر سوال برد، توضیح داد: “این دو خط کد در تابع مقداردهی اولیه به feeTo اجازه می دهد تا مقدار نامحدودی (نوع(uint256).max) از token0 و token1 را از آدرس قرارداد منتقل کند.”
“در این مورد، آدرس feeTo می تواند تابع transferFrom را در توکن های مربوطه فراخوانی کند تا توکن ها را از آدرس قرارداد به آن منتقل کند.”
اگر چنین یافته ای “بحرانی” نیست، حداقل باید به عنوان “معنی دار” گزارش شود. eZKalibur گفت:
نمی توان آن را به عنوان یک مسئله پنهانی و غیرمتمرکز ساده در نظر گرفت. زیرا بدون قفل زمانی، می تواند منجر به تخلیه فوری تمام سرمایه های سرمایه گذاری شده در پروتکل شود، که دقیقاً همان چیزی است که اتفاق می افتد.
توسعه دهندگان مرلین از آن زمان از کاربران خواسته اند که مجوزهای کیف پول مرتبط با وب سایت خود را لغو کنند. آنها اظهار داشتند که پروتکل در حال هک شدن را تجزیه و تحلیل کرده اند.
*نه توصیه سرمایه گذاری
ما را دنبال کنید تلگرام و توییتر اکنون برای اخبار انحصاری، تجزیه و تحلیل و داده های زنجیره ای حساب کنید!