L'échange décentralisé Merlin a subi une perte de 1,82 million de dollars le 26 avril, alors qu'un attaquant a drainé des fonds d'un pool de liquidités sur le DEX basé sur zkSync. Cet incident soulève des inquiétudes quant à l'efficacité des audits DeFi, car Merlin avait été audité par la célèbre société de sécurité CertiK quelques jours seulement avant le piratage.

Le pirate informatique a réussi à épuiser le pool de liquidités du Merlin DEX, qui n'avait été lancé que quelques jours auparavant et a été construit sur zkSync, une solution de mise à l'échelle basée sur zk-rollup de couche 2 pour Ethereum. Les fonds, constitués de jetons USDC, ont été transférés de zkSync à Ethereum, avec la société de sécurité blockchain PeckShield et plusieurs membres de la communauté identifiant les adresses de l'exploiteur.

Les Core Farming Pools de Merlin avaient attiré des investissements importants dans les jours qui ont suivi le lancement de la plateforme. L’impact du piratage sur la vente publique en cours du jeton MAGE reste incertain, mais il a certainement suscité la prudence des investisseurs.

Audits CertiK sous surveillance

CertiK a audité de nombreux projets dans le passé qui ont ensuite été victimes de piratages, notamment PancakeBunny, Uranium Finance et Meerkat Finance. Cela a conduit à des doutes croissants au sein de la communauté cryptographique quant à la qualité des audits. En outre, les éloges de CertiK à l’égard du projet Terra ont également fait sourciller.

Aperçu du site Web CertiX le 16 avril 2023

Le piratage de Merlin s'est produit malgré un rapport d'audit de CertiK qui n'a trouvé « aucune conclusion critique ». CertiK a suggéré que le piratage pourrait être dû à un problème de gestion de clé privée plutôt qu'à un exploit, affirmant que les audits ne peuvent pas empêcher de tels problèmes. La société a également assuré qu'elle partagerait les informations pertinentes avec les autorités si un acte criminel était suspecté.

Suivi des fonds volés

L'attaquant a déjà commencé à transférer une partie des fonds volés vers des bourses, PeckShield signalant que 133 800 USDC ont été envoyés à MEXC Global et 31 000 USDC à Binance.

$USDC a été transféré aux CEX par les exploiteurs Merlin DEX par PeckShied

Cet incident souligne la nécessité pour les projets DeFi de se concentrer sur la qualité des audits et leurs mesures de sécurité afin de gagner la confiance du public. Alors que le marché DeFi continue d’être une cible majeure pour les pirates informatiques, la communauté cryptographique est de plus en plus prudente à l’égard des audits et de leur rôle dans l’atténuation des risques.