El exchange descentralizado Merlin sufrió una pérdida de 1,82 millones de dólares el 26 de abril, cuando un atacante drenó fondos de un fondo de liquidez en el DEX basado en zkSync. Este incidente genera preocupación sobre la efectividad de las auditorías de DeFi, ya que Merlin había sido auditado por la conocida firma de seguridad CertiK pocos días antes del ataque.

El hacker logró agotar el fondo de liquidez de Merlin DEX, que se había lanzado solo unos días antes y se construyó sobre zkSync, una solución de escalamiento basada en zk-rollup de capa 2 para Ethereum. Los fondos, que consisten en tokens USDC, se conectaron desde zkSync a Ethereum, y la empresa de seguridad blockchain PeckShield y varios miembros de la comunidad identificaron las direcciones del explotador.

Los Core Farming Pools de Merlin habían atraído una inversión significativa en los días posteriores al lanzamiento de la plataforma. El impacto del hack en la venta pública en curso del token MAGE aún no está claro, pero ciertamente ha generado cautela entre los inversores.

Auditorías CertiK bajo escrutinio

CertiK ha auditado numerosos proyectos en el pasado que luego fueron víctimas de ataques, incluidos PancakeBunny, Uranium Finance y Meerkat Finance. Esto ha generado dudas crecientes dentro de la comunidad criptográfica sobre la calidad de las auditorías. Además, los generosos elogios de CertiK al proyecto Terra también han llamado la atención.

Instantánea del sitio web de CertiX el 16 de abril de 2023

El ataque a Merlin se produjo a pesar de que un informe de auditoría de CertiK no encontró "hallazgos críticos". CertiK sugirió que el ataque podría deberse a un problema de gestión de claves privadas en lugar de un exploit, afirmando que las auditorías no pueden prevenir tales problemas. La firma también aseguró que compartiría información relevante con las autoridades si se sospecha de algún delito.

Seguimiento de los fondos robados

El atacante ya ha comenzado a mover algunos de los fondos robados a los intercambios, y PeckShield informa que se han enviado $133,800 USDC a MEXC Global y $31,000 USDC a Binance.

PeckShied transfirió $USDC a CEX desde los explotadores de Merlin DEX

Este incidente subraya la necesidad de que los proyectos DeFi se centren en la calidad de las auditorías y sus medidas de seguridad para ganarse la confianza del público. Dado que el mercado DeFi sigue siendo un objetivo importante para los piratas informáticos, la comunidad criptográfica se está volviendo cada vez más cautelosa con las auditorías y su papel en la mitigación del riesgo.