Decentralizovaná burza Merlin utrpěla 26. dubna ztrátu 1,82 milionu dolarů, když útočník odčerpal finanční prostředky z fondu likvidity na DEX založeném na zkSync. Tento incident vzbuzuje obavy ohledně účinnosti auditů DeFi, protože Merlin byl jen několik dní před hacknutím auditován známou bezpečnostní firmou CertiK.

Hackerovi se podařilo vyčerpat fond likvidity Merlin DEX, který byl spuštěn teprve před několika dny a byl postaven na zkSync, škálovacím řešení založeném na 2. vrstvě zk pro Ethereum. Prostředky, sestávající z tokenů USDC, byly přemostěny ze zkSync do Etherea, přičemž firma PeckShield pro zabezpečení blockchainu a několik členů komunity identifikovalo adresy vykořisťovatele.

Společnost Merlin’s Core Farming Pools přilákala ve dnech po spuštění platformy značné investice. Dopad hacku na pokračující veřejný prodej tokenu MAGE zůstává nejasný, ale rozhodně zvýšil opatrnost investorů.

Audity CertiK pod kontrolou

CertiK v minulosti provedl audit mnoha projektů, které se později staly obětí hackerů, včetně PancakeBunny, Uranium Finance a Surikat Finance. To vedlo k rostoucím pochybnostem v kryptokomunitě o kvalitě auditů. Kromě toho také okázalá chvála CertiK projektu Terra zvedla obočí.

Snímek webu CertiX ze 16. dubna 2023

K hacknutí Merlin došlo navzdory auditní zprávě od společnosti CertiK, která nenalezla žádná kritická zjištění. CertiK navrhl, že hack by mohl být způsoben spíše problémem se správou soukromých klíčů než exploitem, a tvrdil, že audity nemohou takovým problémům zabránit. Firma také ujistila, že v případě podezření na nekalou hru sdělí příslušné informace úřadům.

Sledování ukradených finančních prostředků

Útočník již začal přesouvat část ukradených finančních prostředků na burzy, přičemž PeckShield oznámil, že 133 800 USDC bylo odesláno společnosti MEXC Global a 31 000 USDC společnosti Binance.

$ USDC byly převedeny do CEXes z Merlin DEX exploiters PeckShied

Tento incident podtrhuje potřebu, aby se projekty DeFi zaměřily na kvalitu auditů a jejich bezpečnostní opatření, aby získaly důvěru veřejnosti. Vzhledem k tomu, že trh DeFi je i nadále hlavním cílem hackerů, krypto komunita je vůči auditům a jejich roli při zmírňování rizik stále opatrnější.