Die dezentrale Börse Merlin erlitt am 26. April einen Verlust von 1,82 Millionen US-Dollar, als ein Angreifer Gelder aus einem Liquiditätspool auf dem zkSync-basierten DEX abzog. Dieser Vorfall gibt Anlass zur Sorge hinsichtlich der Wirksamkeit von DeFi-Prüfungen, da Merlin nur wenige Tage vor dem Hack von der bekannten Sicherheitsfirma CertiK geprüft wurde.

Dem Hacker gelang es, den Liquiditätspool des Merlin DEX zu erschöpfen, der erst wenige Tage zuvor gestartet war und auf zkSync basierte, einer Layer-2-Skalierungslösung auf Basis von zk-Rollup für Ethereum. Die Gelder, bestehend aus USDC-Token, wurden von zkSync zu Ethereum überwiesen, wobei das Blockchain-Sicherheitsunternehmen PeckShield und mehrere Community-Mitglieder die Adressen des Exploits identifizierten.

Merlins Core Farming Pools hatten in den Tagen nach dem Start der Plattform erhebliche Investitionen angezogen. Die Auswirkungen des Hacks auf den laufenden öffentlichen Verkauf des MAGE-Tokens sind noch unklar, haben aber sicherlich die Vorsicht der Anleger erhöht.

CertiK-Audits auf dem Prüfstand

CertiK hat in der Vergangenheit zahlreiche Projekte geprüft, die später Opfer von Hackerangriffen wurden, darunter PancakeBunny, Uranium Finance und Meerkat Finance. Dies hat in der Krypto-Community zu wachsenden Zweifeln an der Qualität der Prüfungen geführt. Darüber hinaus hat CertiKs überschwängliches Lob des Terra-Projekts ebenfalls für Aufsehen gesorgt.

Snapshot der CertiX-Website vom 16. April 2023

Der Merlin-Hack erfolgte trotz eines Prüfberichts von CertiK, der „keine kritischen Befunde“ feststellte. CertiK vermutete, dass der Hack eher auf ein Problem bei der Verwaltung privater Schlüssel als auf einen Exploit zurückzuführen sein könnte, und behauptete, dass Prüfungen solche Probleme nicht verhindern können. Das Unternehmen versicherte außerdem, dass es relevante Informationen an die Behörden weitergeben würde, wenn ein Verdacht auf Verbrechen besteht.

Verfolgung der gestohlenen Gelder

Der Angreifer hat bereits damit begonnen, einen Teil der gestohlenen Gelder an Börsen zu überweisen. PeckShield berichtete, dass 133.800 USDC an MEXC Global und 31.000 USDC an Binance gesendet wurden.

$USDC wurde von PeckShied von den Merlin DEX-Exploitern an CEXes übertragen

Dieser Vorfall unterstreicht, dass sich DeFi-Projekte auf die Qualität der Audits und ihre Sicherheitsmaßnahmen konzentrieren müssen, um das Vertrauen der Öffentlichkeit zu gewinnen. Da der DeFi-Markt weiterhin ein Hauptziel für Hacker ist, wird die Krypto-Community gegenüber Audits und ihrer Rolle bei der Risikominderung zunehmend vorsichtiger.