Merlin được chạy trên layer-2 zkSync và đã bị tin tặc tấn công và chiếm được tổng số tiền là 1.823.477 USD. Tin tặc đã lấy các đồng USDC, TAROT và ETH từ Core Farming Pools của Merlin.
Sáng nay, ngày 26/04/2023 theo giờ Việt Nam, nhiều chuyên gia bảo mật blockchain đã cảnh báo rằng sàn giao dịch phi tập trung (DEX) Merlin đang bị tấn công.
#PeckShieldAlert Our community contributor has reported that Merlin #DEX on #zksync was exploited. One of the exploiters 0x2744…9b7 has grabbed ~850K $USDC and bridged them to #Ethereum https://t.co/hfgjJJY7Ml pic.twitter.com/07uSGMAt7e
— PeckShieldAlert (@PeckShieldAlert) April 26, 2023
Hiện tại, số tiền đánh cắp đã được chuyển sang hai ví là 0x0b8a3ef6307049aa0ff215720ab1fc885007393d và 0x2744d62a1e9ab975f4d77fe52e16206464ea79b7 trên blockchain Ethereum.
Stolen funds ($1,823,477) are in
— Bobie(🪬.🪬) (@0xBobie) April 26, 2023
1, 0x0b8a3ef6307049aa0ff215720ab1fc885007393d
2, 0x2744d62a1e9ab975f4d77fe52e16206464ea79b7
The potential hacker bridged all of them to Ethereum. https://t.co/ADDnuhNjVI pic.twitter.com/26zbt9AG9M
Merlin vừa mới được kiểm tra bảo mật bởi đơn vị CertiK và bắt đầu public sale vào ngày hôm qua (25/04). Tuy nhiên, không đầy 24 giờ đã bị tin tặc tấn công thành công.
Dự án đã kêu gọi người dùng thu hồi đồng USDC, TAROT và ETH nếu họ đã approve smart contract và đang trong quá trình điều tra vụ việc.
Developer announcement 📢
— Merlin (@TheMerlinDEX) April 26, 2023
Can everyone revoke connected site access on your wallets/sign permission https://t.co/YRxH7IUU4T
We are analysing the exploit of our protocol and would stress that everyone carries out this step as a precaution.
More updates will be provided
Đơn vị CertiK cũng đã có báo cáo sơ bộ và nhấn mạnh rằng nguyên nhân vụ việc đến từ lỗi private key chứ không phải lỗi đến từ các dòng mã code. Nghĩa là audit của CertiK hoàn toàn “uy tín”, việc bị tấn công là do thao tác của dự án và người dùng.
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
— CertiK (@CertiK) April 26, 2023
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
Tuy nhiên, báo cáo này vẫn chưa được chứng thực và chúng ta chưa biết chắc chắn lý do gây ra vụ tấn công.
zkSync đã trở thành một dự án layer-2 mới và nhận được nhiều sự quan tâm từ cộng đồng. Tuy nhiên, zkSync cũng gặp nhiều vấn đề về mặt kỹ thuật, gây rắc rối không nhỏ cho những dự án muốn xây dựng trên nền tảng này.
Trước đó, GemholicECO cũng đã bị mắc kẹt 921 ETH tiền mở bán token trên zkSync Era.
Có thể bạn quan tâm: ZKSync lấy lại quyền kiểm soát tài khoản Twitter sau khi bị tấn công
Crypto60s tổng hợp