26 апреля децентрализованная биржа Merlin понесла убытки в размере $1,82 млн, поскольку злоумышленник истощил средства из пула ликвидности на DEX на базе zkSync. Этот инцидент вызывает обеспокоенность по поводу эффективности аудита DeFi, поскольку всего за несколько дней до взлома Мерлин прошел проверку известной охранной фирмы CertiK.

Хакеру удалось исчерпать пул ликвидности Merlin DEX, который был запущен всего несколько дней назад и был построен на zkSync, решении масштабирования уровня 2 на основе zk-rollup для Ethereum. Средства, состоящие из токенов USDC, были переброшены из zkSync в Ethereum, при этом фирма по обеспечению безопасности блокчейнов PeckShield и несколько членов сообщества определили адреса эксплуататоров.

Основные фермерские пулы Merlin привлекли значительные инвестиции в первые дни после запуска платформы. Влияние взлома на продолжающуюся публичную продажу токена MAGE остается неясным, но это, безусловно, вызвало осторожность инвесторов.

Аудит CertiK под пристальным вниманием

В прошлом CertiK проверяла множество проектов, которые впоследствии стали жертвами хакеров, включая PancakeBunny, Uranium Finance и Meerkat Finance. Это привело к растущим сомнениям в криптосообществе относительно качества аудита. Кроме того, щедрая похвала CertiK проекта Terra также вызвала удивление.

Снимок веб-сайта CertiX от 16 апреля 2023 г.

Взлом Merlin произошел, несмотря на аудиторский отчет от CertiK, в котором обнаружено «нет критических результатов». CertiK предположила, что взлом мог быть вызван проблемой управления закрытыми ключами, а не эксплойтом, утверждая, что аудит не может предотвратить такие проблемы. Фирма также заверила, что поделится соответствующей информацией с властями, если возникнут подозрения в нечестной игре.

Отслеживание украденных средств

Злоумышленник уже начал переводить часть украденных средств на биржи: PeckShield сообщает, что 133 800 долларов США было отправлено на MEXC Global и 31 000 долларов США на Binance.

$USDC был переведен на CEX от эксплуататоров Merlin DEX компанией PeckShied.

Этот инцидент подчеркивает необходимость того, чтобы проекты DeFi сосредоточили внимание на качестве аудитов и мерах безопасности, чтобы завоевать доверие общественности. Поскольку рынок DeFi по-прежнему является основной мишенью для хакеров, криптосообщество становится все более осторожным в отношении аудитов и их роли в снижении рисков.