مرلین (Merlin) – یک صرافی غیرمتمرکز که بر روی پلتفرم zkSync (راه حل لایه 2 اتریوم) کار می کند – کمی بعد تایید Certik را دریافت کنید هک شد و بیش از 1.82 میلیون دلار از دارایی های آن به سرقت رفت.
به نقل از TheBlockسرتیک در توییتی نوشت که در حال بررسی این حادثه است و یافتههای اولیه آن به یک مشکل بالقوه در مدیریت کلید خصوصی و نه لزوما سوء استفاده از کد اشاره دارد. سرتیک در این مورد اظهار داشت:
اگرچه ممیزی امنیتی نمی تواند از مسائل ناشی از مدیریت کلید خصوصی جلوگیری کند، ما همیشه سعی کرده ایم پروژه ها را در مورد بهترین شیوه ها برای مدیریت کلید خصوصی راهنمایی کنیم. با این حال، ما با مقامات مربوطه همکاری خواهیم کرد و در صورت کشف هرگونه نارسایی از سوی خود، اطلاعات مربوطه را منتشر خواهیم کرد. در ارتباط باشید برای به روز رسانی بیشتر.
با این حال، eZKalibur، یک صرافی غیرمتمرکز که مانند مرلین، بر روی پلتفرم zkSync کار میکند و همچنین، مانند مرلین، بخشی از کد قرارداد Camelot را فورک کرده است، ادعا میکند که کد مخرب مسئول تخلیه وجوه را شناسایی کرده است. در توییت eZKalibur در این باره می خوانیم:
این دو خط کد در تابع مقداردهی اولیه به آدرس feeTo اجازه می دهد تا مقدار نامحدودی از token0 و token1 را از آدرس قرارداد منتقل کند. به این ترتیب، آدرس feeTo می تواند تابع transferFrom را برای انتقال نشانه ها از آدرس قرارداد به خودش فراخوانی کند.
سرتیک چگونه این قرارداد را اصلاح کرد؟
اگرچه Certik در حسابرسی خود از Dex Merlin بر خطر تمرکز تاکید کرد، برخی معتقدند که باید بر ریسک پول های سرکش تاکید می شد. eZKalibur در مصاحبه با TheBlock اظهار داشت:
حتی اگر چنین یافته ای به عنوان «عیب بحرانی» گزارش نشود، باید به عنوان «عیب عمده» گزارش شود و نمی توان آن را یک نقص ساده در تمرکززدایی پروژه دانست. این شکست بدون قفل زمانی می توانست منجر به خالی شدن کامل موجودی پروژه شود، اما شد!
توسعه دهندگان مرلین از کاربران خواسته اند مجوزهایی به آنها داده شود وب سایت مرلین لغو و اعلام کرده اند که در حال تجزیه و تحلیل سوء استفاده از این پروتکل هستند.
خبر فوق به نقل از رسانه اسمارتک نیوز در وبسایت اسمارتک نوشته شده است در تاریخ 2023-04-26 16:02:41