- Merlin, sıfır bilgi senkronizasyonu (zkSync) kullanan Ethereum tabanlı merkezi olmayan bir borsadır (DEX).
- DEX, bir likidite havuzu hackinde 1,8 milyon dolardan fazla kaybetti.
- Hack, akıllı sözleşme güvenlik firması Certik’in DEX’in kodunu denetlemesinden birkaç saat sonra gerçekleşti.
Ethereum tabanlı merkezi olmayan borsa (DEX) Merlin, Çarşamba sabahı bir hacker(lar)ın bir likidite havuzu hackinde DEX’i 1,8 milyon doları boşaltmasının ardından kötü haberlerle uyandı. Hack, Merlin’in yerel simgesi MAGE’nin halka açık satışı sırasında gerçekleşti.
Bilgisayar korsanı(lar), Ethereum (ETH), USD Coin (USDC) ve diğer likit olmayan belirteçler dahil olmak üzere birkaç kripto para birimini çaldı.
CertiK, Merlin’in kodunu denetledi
Saldırıdan birkaç saat sonra güvenlik firması CertiK tweet attı toplum üzerindeki etkisini anlamak için olayı araştırdığını söyledi. Ayrıca, ilk bulgularının, özel anahtar yönetimiyle ilgili bir sorundan kaynaklanmış olabileceğini gösterdiğini, yani yaygın olarak düşünüldüğü gibi bir istismar değil, hack olduğunu söyledi.
CertiK, 24 Nisan 2023’te Merlin’in kodunu denetledi ve Merlin’in “güvenlik uygulamalarını geliştirmek için çoklu imza cüzdanları gibi merkezi olmayan mekanizmadaki merkezi rollerini” geliştirmesini tavsiye etti. Ayrıca Merlin’den, tek bir anahtar yönetimi noktasından kaçınmak için en az 48 saatlik bir gecikmeyle bir zaman kilidi özelliği uygulamasını istedi.
CertiK, herhangi bir gelişme olması durumunda ilgili makamlarla işbirliği yapma sözü de verdi.
Kayıp varlıkları telafi etmek için CertiK ve zkSync Era
Güvenlik firması, CertiK’in haydut bir geliştirici olduğuna inandığı bilgisayar korsanını çalınan fonların %80’ini iade etmeye çağırırken, bilgisayar korsanına %20 beyaz şapka ödülü teklif etti.
26 Nisan’da ünlü bir medya kuruluşuna yaptığı açıklamada CertiK, çıkış dolandırıcılığını araştırdığını ve ayrıca geri kalan Merlin ekibini tazminat planını başlatması için görevlendirdiğini yineledi. firma dedi ki:
“İlk soruşturmalar, haydut geliştiricilerin Avrupa’da yerleşik olduğunu gösteriyor ve CertiK, doğrudan müzakere başarısız olursa onları bulmak için kolluk kuvvetleriyle işbirliği yapacak.”
CertiK ayrıca, özel anahtar ayrıcalıklarının, akıllı sözleşme denetiminin kapsamı dışında olmasına rağmen, “etkilenen kullanıcılara yardımcı olmayı taahhüt ettiğini” belirtti.
