Son günlerdeki hacker saldırılarına bir yenisi daha eklendi. zkSync kullanan merkeziyetsiz bir borsa olan Merlin, akıllı sözleşme denetçisi Certik’ten bir kod denetimi aldıktan hemen sonra 1.82 milyon doların üzerinde bir miktar hacklenmiş gibi görünüyor.
Merkeziyetsiz Borsa Merlin Hacker Saldırısına Uğradı
zkSync DEX Merlin’in kod denetiminden hemen sonra 1.82 milyon dolarlık hacker saldırısına uğradığı bildirildi.
Certik, olayı araştırdığını ve ilk bulgularının özel anahtar yönetimiyle ilgili potansiyel bir soruna işaret ettiğini, kod ihlalinin söz konusu olmadığını belirten bir tweet attı.
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
— CertiK (@CertiK) April 26, 2023
Certik, “Denetimler özel anahtar sorunlarını önleyemese de, projelere her zaman en iyi uygulamaları öneriyoruz,” dedi. “Herhangi bir hata tespit edilirse, ilgili makamlarla birlikte çalışacağız ve ilgili bilgileri paylaşacağız. Güncellemeler için bizi izlemeye devam edin.”
Bu arada, Merlin gibi DEX Camelot’un sözleşmesinin bir kısmını çatallayan bir zkSync merkezi olmayan borsa ve launchpad olan eZKalibur, fonların boşaltılmasından sorumlu kötü niyetli kodu tespit ettiğini iddia ediyor.
Certik’in denetiminin kalitesini sorgularken, “Başlatma işlevindeki bu iki kod satırı, feeTo adresine sözleşmenin adresinden sınırsız (type(uint256).max) miktarda token0 ve token1 transfer etmesi için onay veriyor” açıklamasını yaptı.
“Bu durumda, feeTo adresi, tokenları sözleşmenin adresinden kendisine aktarmak için ilgili tokenlar üzerinde transferFrom işlevini çağırabilir.”
Böyle bir bulgu “kritik” değilse bile en azından “önemli” olarak raporlanmalıdır. eZKalibur, şunları söyledi:
“Gizli ve basit bir merkeziyetsizlik sorunu olarak görülemez. Çünkü bir zaman kilidi olmadan, protokole yatırılan fonların tamamının anında boşaltılmasına yol açabilir, ki tam olarak olan da budur.”
Merlin geliştiricileri o zamandan beri kullanıcılardan web sitesine bağlı cüzdan izinlerini iptal etmelerini istedi. Protokolün saldırıya uğramasını analiz ettiklerini belirttiler.
*Yatırım tavsiyesi değildir.
