Злом стався, незважаючи на позитивну оцінку від провідних фахівців, які аналізують код блокчейн-проектів
Децентралізована біржа Merlin, що працює в екосистемі zkSync, була зламана на суму понад $1 млн одразу після того, як пройшла аудит програмного коду від експертів із смарт-контрактів компанії Certik.
Вранці 26 квітня зловмисники вивели з Merlin стейблкоїни USD Coin (USDC) на суму близько $850 тис. та дещо інших неліквідних токенів. Дані в блокчейні свідчать про те, що кошти зміг вивести певний суб’єкт, який контролює пул ліквідності біржі. Це може говорити про те, що атака не була технічно витонченою, а сама крадіжка могла бути справою рук інсайдера проекту.
Атака відбулася, незважаючи на те, що Merlin пройшла аудит від Certik – лідера на ринку аудиту програмного коду блокчейн-проектів. У висновку сервісу за підсумками аудиту Merlin говориться, що в коді біржі немає критичних уразливостей.
Представники Certik написали у соцмережах, що розслідують інцидент. Їхні початкові висновки вказують на потенційну проблему з керуванням закритими криптографічними ключами проекту, що дають доступ до засобів.
“Аудит не може повністю запобігти проблемам з ключами, але ми завжди звертаємо увагу проектів на кращі практики”, – заявили в Certik.
Розробники Merlin попросили користувачів відкликати дозволи гаманців, підключених до його сайту. Вони стверджують, що аналізують можливу вразливість протоколу, але на момент публікації не давали жодних коментарів.
За розробкою блокчейну «другого рівня» zkSync стоїть компанія Matter Labs. У листопаді 2022 року вона провела кілька інвестиційних раундів на загальну суму $258 млн за участю LightSpeed, Andreessen Horowitz та великих венчурних криптофондів — Blockchain Capital та Dragonfly.
Проект вважається потенційним кандидатом на роздачу токенів у вигляді еірдропу за активність у проектах його екосистеми, серед яких, зокрема, зламана платформа Merlin.