صرافی غیرمتمرکز zkSync بلافاصله پس از ممیزی هک شد

خلاصه مطلب

به نظر می‌رسد پلتفرم Merlin پس از انجام ممیزی کد خود از شرکت حسابرسی قرارداد هوشمند Certik، هک شده و بیش از ۱/۸۲ میلیون دلار از این پلتفرم به سرقت رفته است.

به گزارش والکس و به نقل از theblock، پلتفرم Merlin، یک صرافی غیرمتمرکز (DEX) که از zkSync استفاده می‌کند، به نظر می‌رسد پس از انجام ممیزی کد خود از شرکت حسابرسی قرارداد هوشمند Certik، هک شده و بیش از ۱.۲۸ میلیون دلار از این پلتفرم به سرقت رفته است.

Certik در توییتر خود اعلام کرد که در حال بررسی این حادثه است و یافته‌های اولیه آنها نشان می‌دهد که ممکن است مشکلی در بخش مدیریت کلیدهای خصوصی وجود داشته باشد، و نه در کد این پلتفرم. Certik گفت:

با وجود اینکه ممیزی‌ها نمی‌توانند از وقوع مشکلات مربوط به کلید خصوصی جلوگیری کنند، اما ما همیشه بهترین روش‌ها را به پروژه‌ها برای جلوگیری از این مشکلات ارائه می‌دهیم. در صورت شناسایی هرگونه تقلب و کلاهبرداری، ما با مقامات مربوطه همکاری کرده و اطلاعات جدید را به اشتراک خواهیم گذاشت. برای دریافت بروزرسانی‌ها منتظر بمانید.

در همین حین، eZKalibur، یک صرافی غیرمتمرکز در zkSync و لانچ‌پدی که همانند Merlin، از قرارداد Camelot فورک شده، ادعا می‌کند کد مخرب مسئول تخلیه موجودی پلتفرم Merlin را شناسایی کرده است.

بیشتر بخوانید: zkSync چیست؟ معرفی راهکار لایه دوم شبکه اتریوم

ZKalibur در حالی که کیفیت ممیزی Certik را زیر سوال می‌برد توضیح می‌دهد: «دو خط کد در تابع سازنده (__init__)، اساسا مجوز تأیید آدرس feeTo را برای انتقال نامحدود (type(uint256).max) از token0 و token1 از مبدا آدرس قرارداد اصلی صادر می‌کند. در این صورت، آدرس feeTo ممکن است تابع transferFrom را بر روی توکن‌های مربوطه فراخوانی کند تا بتواند توکن‌ها را از آدرس قرارداد اصلی به حساب خودش انتقال دهد.»

اگرچه Certik به ریسک تمرکززایی Merlin اشاره کرده بود، اما برخی از مردم فکر می‌کنند که Certik در ممیزی خود باید خطر کلاهبرداری راگ پول را نیز برجسته می‌کرد.

چنین گزارشی باید حداقل «مهم»، و در صورت لزوم «بحرانی» گزارش شود. eZKalibur افزود:

این موضوع را نمی‌توان به عنوان یک مشکل ساده در حوزه غیرمتمرکز در نظر گرفت، زیرا به دلیل عدم وجود قفل زمانی، می‌تواند منجر به از دست رفتن فوری تمام وجوه سپرده شده در پروتکل شود. و این دقیقاً همان چیزی است که رخ داده است.

توسعه‌دهندگان Merlin از کاربران خواسته‌اند مجوزهای کیف پول متصل شده به وب‌سایت این پلتفرم را لغو کنند. آنها ادعا می‌کنند که در حال تجزیه و تحلیل مشکل بوجود آمده هستند.