26 квітня децентралізована біржа Merlin зазнала збитків у розмірі 1,82 мільйона доларів США, оскільки зловмисник вичерпав кошти з пулу ліквідності DEX на основі zkSync. Цей інцидент викликає занепокоєння щодо ефективності перевірок DeFi, оскільки Мерлін був перевірений відомою охоронною фірмою CertiK за кілька днів до злому.

Хакеру вдалося вичерпати пул ліквідності Merlin DEX, який був запущений лише кілька днів тому і був створений на основі zkSync, рішення для масштабування Ethereum на основі zk-зведення рівня 2. Кошти, що складаються з токенів USDC, були переведені з zkSync в Ethereum за допомогою фірми безпеки блокчейну PeckShield і кількох членів спільноти, які ідентифікували адреси експлоататора.

За кілька днів після запуску платформи Merlin’s Core Farming Pools залучив значні інвестиції. Вплив злому на поточний публічний продаж токена MAGE залишається незрозумілим, але це, безумовно, викликало обережність інвесторів.

Перевірка CertiK

У минулому CertiK перевіряв численні проекти, які згодом стали жертвами хакерів, зокрема PancakeBunny, Uranium Finance та Meerkat Finance. Це призвело до зростання сумнівів у криптоспільноті щодо якості аудитів. Крім того, щедра похвала CertiK про проект Terra також викликала здивування.

Знімок веб-сайту CertiX 16 квітня 2023 року

Злом Merlin стався, незважаючи на аудиторський звіт від CertiK, у якому зазначено «Немає критичних висновків». CertiK припустив, що злом міг бути спричинений проблемою керування приватним ключем, а не експлойтом, стверджуючи, що аудит не може запобігти таким проблемам. Фірма також запевнила, що поділиться відповідною інформацією з владою, якщо виникнуть підозри про нечесну гру.

Відстеження викрадених коштів

Зловмисник уже почав переміщувати частину викрадених коштів на біржі, а PeckShield повідомляє, що 133 800 доларів США було надіслано на MEXC Global і 31 000 доларів США на Binance.

PeckShied передав $USDC на CEX від експлуататорів Merlin DEX

Цей інцидент підкреслює необхідність для проектів DeFi зосередитися на якості перевірок і заходах безпеки, щоб завоювати довіру громадськості. Оскільки ринок DeFi продовжує залишатися основною мішенню для хакерів, криптоспільнота стає дедалі обережнішою щодо перевірок та їх ролі в зменшенні ризиків.