Децентрализованная биржа Merlin, использующая решение для масштабирования уровня 2 с нулевым разглашением zkSync, взломана сразу после аудита кода компанией Certik.
Предварительные потери превышают $ 1,82 млн. В Certik написали в запрещённом в России Твиттере, что расследуют инцидент и первичные выводы указывают на возможную проблему с управлением приватными ключами, таким образом, проблема необязательно заключена в коде: Если будет обнаружена нечестная игра, мы обратимся в соответствующие органы и будет делиться с ними необходимой информацией.
Следите за новостями. Команда децентрализованной биржи eZKalibur, которая как и Merlin интегрировала аналогичное решение, утверждает, что идентифицировала вредоносный код, ответственный за кражу средств: Эти две строки кода в функции инициализации, по сути, дают разрешение адресу feeTo на передачу неограниченного (типа (uint256).max) количества токенов 0 и токенов 1 с адреса контракта. В этом случае адрес FeeTo может вызвать функцию TransferFrom для передачи токенов с адреса контракта на себя. В этом случае нельзя исключать злонамеренные действия кого-либо из сотрудников Merlin, такие инциденты уже получили обозначение «выдёргивание коврика».
Тем временем разработчики Merlin попросили пользователей отозвать разрешения кошелька, связанные с их сайтом. Сейчас они анализируют протокол на предмет уязвимости.
Читать на happycoin.club