Bursa descentralizată Merlin a suferit o pierdere de 1,82 milioane USD pe 26 aprilie, deoarece un atacator a scurs fonduri dintr-un pool de lichidități pe DEX bazat pe zkSync. Acest incident ridică îngrijorări cu privire la eficacitatea auditurilor DeFi, deoarece Merlin fusese auditat de cunoscuta firmă de securitate CertiK cu doar câteva zile înainte de hack.

Hackerul a reușit să epuizeze fondul de lichiditate al Merlin DEX, care fusese lansat doar cu câteva zile înainte, și a fost construit pe zkSync, o soluție de scalare bazată pe zk-rollup de Layer 2 pentru Ethereum. Fondurile, constând din jetoane USDC, au fost conectate de la zkSync la Ethereum, firma de securitate blockchain PeckShield și câțiva membri ai comunității identificând adresele exploatatorului.

Merlin’s Core Farming Pools atrasese investiții semnificative în zilele următoare lansării platformei. Impactul hack-ului asupra vânzării publice în curs a jetonului MAGE rămâne neclar, dar cu siguranță a ridicat prudența investitorilor.

Audituri CertiK sub control

CertiK a auditat în trecut numeroase proiecte care mai târziu au fost victime ale hackurilor, inclusiv PancakeBunny, Uranium Finance și Meerkat Finance. Acest lucru a dus la îndoieli tot mai mari în cadrul comunității cripto cu privire la calitatea auditurilor. În plus, laudele generoase de către CertiK față de proiectul Terra au ridicat, de asemenea, sprâncene.

Instantaneu al site-ului CertiX pe 16 aprilie 2023

Hackul Merlin a avut loc în ciuda unui raport de audit de la CertiK care a găsit „Fără constatări critice”. CertiK a sugerat că hack-ul s-ar putea datora unei probleme de gestionare a cheii private mai degrabă decât a unui exploit, susținând că auditurile nu pot preveni astfel de probleme. Firma a asigurat, de asemenea, că va împărtăși informații relevante autorităților în cazul în care este suspectat un joc greșit.

Urmărirea fondurilor furate

Atacatorul a început deja să mute o parte din fondurile furate către schimburi, PeckShield raportând că 133.800 USDC au fost trimiși către MEXC Global și 31.000 USDC către Binance.

$USDC a fost transferat către CEX-uri de la exploatatorii Merlin DEX de către PeckShied

Acest incident subliniază necesitatea ca proiectele DeFi să se concentreze pe calitatea auditurilor și pe măsurile de securitate ale acestora pentru a câștiga încrederea publicului. Pe măsură ce piața DeFi continuă să fie o țintă majoră pentru hackeri, comunitatea cripto devine din ce în ce mai precaută față de audituri și rolul lor în atenuarea riscului.