کوین اکسو گزارش داد که پلتفرم مرلین، یک صرافی غیرمتمرکز (DEX) که از zkSync استفاده میکند، پس از حسابرسی کد آن توسط شرکت حسابرسی قراردادهای هوشمند Certik، به نظر میرسد هک شده و بیش از 1.28 میلیون دلار است.
Certik در توییتر اعلام کرد که در حال بررسی این حادثه هستند و یافته های اولیه آنها نشان می دهد که ممکن است مشکلی در قسمت مدیریت کلید خصوصی وجود داشته باشد نه کد پلت فرم. سرتیک گفت:
اگرچه ممیزی نمی تواند از بروز مسائل کلید خصوصی جلوگیری کند، ما همیشه بهترین روش ها را برای پروژه ها ارائه می کنیم تا از این مسائل جلوگیری کنیم. در صورت کشف تقلب، با مقامات مربوطه همکاری کرده و اطلاعات جدید را به اشتراک خواهیم گذاشت. منتظر بروزرسانی ها باشید.
در همین حال، eZKalibur، یک صرافی و لانچ پد zkSync غیرمتمرکز که مانند مرلین از قرارداد Camelot جدا شده است، ادعا می کند که کد مخرب مسئول تخلیه پلت فرم مرلین را شناسایی کرده است.
بیشتر بخوانید: zkSync چیست؟ معرفی راه حل لایه دوم شبکه اتریوم
در حالی که کیفیت حسابرسی Certik را زیر سوال می برد، ZKalibur توضیح می دهد: «دو خط کد در تابع سازنده (__init__) اساساً تأیید آدرس feeTo را برای انتقال نامحدود (نوع (uint256).max) توکن 0 و توکن 1 از آدرس منبع قرارداد. در این حالت، آدرس feeTo میتواند تابع transferFrom را در توکنهای مربوطه فراخوانی کند تا توکنها را از آدرس قرارداد اصلی به حساب خود منتقل کند.
اگرچه سرتیک به خطر متمرکز شدن مرلین اشاره کرد، اما برخی از مردم معتقدند که سرتیک باید در حسابرسی خود خطر تقلب های نقدی خرد را برجسته می کرد.
چنین گزارشی باید حداقل بهعنوان «مهم» و در صورت لزوم «بحرانی» گزارش شود. eZKalibur افزود:
این مشکل را نمی توان به عنوان یک مشکل ساده در حوزه غیرمتمرکز در نظر گرفت، زیرا به دلیل عدم قفل شدن زمان، می تواند منجر به از بین رفتن فوری کلیه وجوه سپرده شده در پروتکل شود. و دقیقاً همین اتفاق افتاد.
توسعه دهندگان مرلین از کاربران خواسته اند تا مجوزهای کیف پول های مرتبط با وب سایت این پلتفرم را لغو کنند. آنها ادعا می کنند که مشکل را تجزیه و تحلیل می کنند.
