Pertukaran terdesentralisasi Merlin menderita kerugian $1,82 juta pada tanggal 26 April, karena penyerang menguras dana dari kumpulan likuiditas di DEX berbasis zkSync. Insiden ini menimbulkan kekhawatiran atas efektivitas audit DeFi, karena Merlin telah diaudit oleh perusahaan keamanan terkenal CertiK hanya beberapa hari sebelum peretasan.

Peretas berhasil menghabiskan kumpulan likuiditas Merlin DEX, yang baru diluncurkan beberapa hari sebelumnya, dan dibangun di atas zkSync, solusi penskalaan berbasis zk-rollup Layer 2 untuk Ethereum. Dana tersebut, yang terdiri dari token USDC, dijembatani dari zkSync ke Ethereum, dengan perusahaan keamanan blockchain PeckShield dan beberapa anggota komunitas mengidentifikasi alamat pengeksploitasi.

Core Farming Pools Merlin telah menarik investasi yang signifikan pada hari-hari setelah peluncuran platform. Dampak peretasan terhadap penjualan publik token MAGE yang sedang berlangsung masih belum jelas, namun hal ini tentu saja meningkatkan kehati-hatian investor.

Audit CertiK Dalam Pengawasan

CertiK telah mengaudit banyak proyek di masa lalu yang kemudian menjadi korban peretasan, termasuk PancakeBunny, Uranium Finance, dan Meerkat Finance. Hal ini menyebabkan meningkatnya keraguan dalam komunitas kripto tentang kualitas audit. Selain itu, pujian besar CertiK terhadap proyek Terra juga menimbulkan keheranan.

Cuplikan Situs CertiX pada 16 April 2023

Peretasan Merlin terjadi meskipun ada laporan audit dari CertiK yang menemukan “Tidak Ada Temuan Penting”. CertiK berpendapat bahwa peretasan tersebut mungkin disebabkan oleh masalah manajemen kunci pribadi, bukan eksploitasi, dan mengklaim bahwa audit tidak dapat mencegah masalah tersebut. Perusahaan tersebut juga meyakinkan bahwa mereka akan membagikan informasi yang relevan kepada pihak berwenang jika ada dugaan pelanggaran.

Melacak Dana yang Dicuri

Penyerang telah mulai memindahkan sebagian dana curian ke bursa, dengan PeckShield melaporkan bahwa $133,800 USDC telah dikirim ke MEXC Global dan $31,000 USDC ke Binance.

$USDC telah ditransfer ke CEX dari pengeksploitasi Merlin DEX oleh PeckShied

Insiden ini menggarisbawahi perlunya proyek DeFi untuk fokus pada kualitas audit dan langkah-langkah keamanannya untuk mendapatkan kepercayaan publik. Karena pasar DeFi terus menjadi target utama para peretas, komunitas kripto menjadi semakin berhati-hati terhadap audit dan peran mereka dalam memitigasi risiko.