- Merlin ist eine auf Ethereum basierende dezentrale Börse (DEX), die Zero-Knowledge-Sync (zkSync) verwendet.
- Der DEX hat bei einem Liquiditätspool-Hack mehr als 1,8 Millionen Dollar verloren.
- Der Hack fand nur wenige Stunden nach der Überprüfung des DEX-Codes durch die Sicherheitsfirma für Smart Contracts CertiK statt.
Die auf Ethereum basierende dezentralisierte Börse (DEX) Merlin wachte am Mittwochmorgen mit schlechten Nachrichten auf, nachdem ein oder mehrere Hacker die DEX bei einem Liquiditätspool-Hack mit 1,8 Millionen Dollar entleert hatten. Der Hack geschah während eines öffentlichen Verkaufs von Merlins nativem Token MAGE.
Der/die Hacker stahlen mehrere Kryptowährungs-Assets, darunter Ethereum (ETH), USD Coin (USDC) und andere illiquide Token.
CertiK hatte Merlins Code geprüft
Wenige Stunden nach dem Hack hat die Sicherheitsfirma CertiK getwittert sagte, dass es den Vorfall untersuchte, um seine Auswirkungen auf die Gemeinschaft zu verstehen. Es sagte auch, dass seine ersten Ergebnisse darauf hindeuten, dass es sich um ein Problem mit der Verwaltung privater Schlüssel handeln könnte, was bedeutet, dass es sich um einen Hack und nicht um einen Exploit handelte, wie allgemein angenommen.
CertiK führte eine Prüfung von Merlins Code am 24. April 2023 und empfahl Merlin, seine „zentralisierten Rollen für den dezentralisierten Mechanismus wie Multi-Signatur-Wallets zu verbessern, um die Sicherheitspraktiken zu verbessern“. Außerdem wurde Merlin gebeten, eine Timelock-Funktion mit einer Latenzzeit von mindestens 48 Stunden zu implementieren, um eine zentrale Schlüsselverwaltung zu vermeiden.
CertiK versprach auch, mit den zuständigen Behörden zusammenzuarbeiten, falls etwas auftauchen sollte.
CertiK und zkSync Era, um verlorene Vermögenswerte zu kompensieren
Während der Hacker, den CertiK für einen abtrünnigen Entwickler hält, aufgefordert wird, 80 % der gestohlenen Gelder zurückzugeben, bot die Sicherheitsfirma dem Hacker eine Prämie von 20 % White Hat an.
In einer Erklärung gegenüber einem renommierten Medienunternehmen vom 26. April bekräftigte CertiK, dass es den Austrittsbetrug untersucht, und hat auch das verbleibende Merlin-Team beauftragt, den Vergütungsplan einzuleiten. Die Firma sagte:
„Erste Untersuchungen deuten darauf hin, dass die betrügerischen Entwickler in Europa ansässig sind, und CertiK wird mit den Strafverfolgungsbehörden zusammenarbeiten, um sie aufzuspüren, wenn direkte Verhandlungen erfolglos bleiben.“
CertiK stellte außerdem fest, dass die Privilegien privater Schlüssel „zur Unterstützung betroffener Benutzer verpflichtet“ sind, obwohl sie nicht in den Geltungsbereich einer intelligenten Vertragsprüfung fallen.
Quelle: Coinlist.me
