در روزهای اخیر مورد جدیدی به حملات هکرها اضافه شده است. مرلین، یک صرافی غیرمتمرکز با استفاده از zkSync، به نظر می رسد که درست پس از دریافت ممیزی کد از بازرس قرارداد هوشمند Certik، به قیمت بیش از 1.82 میلیون دلار هک شده است.

هکر مرلین صرافی غیرمتمرکز مورد حمله قرار گرفت

zkSync DEX Merlin بلافاصله پس از ممیزی کد مورد حمله هکری 1.82 میلیون دلاری قرار گرفت.

سرتیک در توییتی نوشت که در حال بررسی این حادثه است و یافته‌های اولیه او به یک مشکل بالقوه در مدیریت کلید خصوصی اشاره دارد، نه نقض کد.

Certik گفت: «اگرچه ممیزی نمی تواند از مسائل کلید خصوصی جلوگیری کند، ما همیشه بهترین شیوه ها را به پروژه ها توصیه می کنیم. “در صورت شناسایی هر گونه اشکال، ما با مقامات مربوطه همکاری خواهیم کرد و اطلاعات مربوطه را به اشتراک خواهیم گذاشت. منتظر به روز رسانی ها باشید.”

در همین حال، eZKalibur، یک صرافی غیرمتمرکز zkSync و سکوی راه‌اندازی که مانند مرلین، بخشی از قرارداد DEX Camelot را منعقد می‌کند، ادعا می‌کند که کد مخرب مسئول تخلیه وجوه را شناسایی کرده است.

هنگامی که کیفیت ممیزی Certik را زیر سوال برد، توضیح داد: “این دو خط کد در تابع مقداردهی اولیه به feeTo اجازه می دهد تا مقدار نامحدودی (نوع(uint256).max) از token0 و token1 را از آدرس قرارداد منتقل کند.”

“در این مورد، آدرس feeTo می تواند تابع transferFrom را در توکن های مربوطه فراخوانی کند تا توکن ها را از آدرس قرارداد به آن منتقل کند.”

اگر چنین یافته ای “بحرانی” نیست، حداقل باید به عنوان “معنی دار” گزارش شود. eZKalibur گفت:

نمی توان آن را به عنوان یک مسئله پنهانی و غیرمتمرکز ساده در نظر گرفت. زیرا بدون قفل زمانی، می تواند منجر به تخلیه فوری تمام سرمایه های سرمایه گذاری شده در پروتکل شود، که دقیقاً همان چیزی است که اتفاق می افتد.

توسعه دهندگان مرلین از آن زمان از کاربران خواسته اند که مجوزهای کیف پول مرتبط با وب سایت خود را لغو کنند. آنها اظهار داشتند که پروتکل در حال هک شدن را تجزیه و تحلیل کرده اند.

*نه توصیه سرمایه گذاری

ما را دنبال کنید تلگرام و توییتر اکنون برای اخبار انحصاری، تجزیه و تحلیل و داده های زنجیره ای حساب کنید!



دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *