افزونه پارسی دیت را نصب کنید Wednesday, 30 October , 2024
4

سرقت 1.8 میلیون دلاری در هک صرافی غیرمتمرکز مرلین؛ اعتبار بررسی امنیتی Certic زیر سوال رفت

  • کد خبر : 19176
سرقت 1.8 میلیون دلاری در هک صرافی غیرمتمرکز مرلین؛  اعتبار بررسی امنیتی Certic زیر سوال رفت

مرلین (Merlin) – یک صرافی غیرمتمرکز که بر روی پلتفرم zkSync (راه حل لایه 2 اتریوم) کار می کند – کمی بعد تایید Certik را دریافت کنید هک شد و بیش از 1.82 میلیون دلار از دارایی های آن به سرقت رفت. به نقل از TheBlockسرتیک در توییتی نوشت که در حال بررسی این حادثه […]

مرلین (Merlin) – یک صرافی غیرمتمرکز که بر روی پلتفرم zkSync (راه حل لایه 2 اتریوم) کار می کند – کمی بعد تایید Certik را دریافت کنید هک شد و بیش از 1.82 میلیون دلار از دارایی های آن به سرقت رفت.

به نقل از TheBlockسرتیک در توییتی نوشت که در حال بررسی این حادثه است و یافته‌های اولیه آن به یک مشکل بالقوه در مدیریت کلید خصوصی و نه لزوما سوء استفاده از کد اشاره دارد. سرتیک در این مورد اظهار داشت:

اگرچه ممیزی امنیتی نمی تواند از مسائل ناشی از مدیریت کلید خصوصی جلوگیری کند، ما همیشه سعی کرده ایم پروژه ها را در مورد بهترین شیوه ها برای مدیریت کلید خصوصی راهنمایی کنیم. با این حال، ما با مقامات مربوطه همکاری خواهیم کرد و در صورت کشف هرگونه نارسایی از سوی خود، اطلاعات مربوطه را منتشر خواهیم کرد. در ارتباط باشید برای به روز رسانی بیشتر.

500 میلیون رایگان Baby Dodge
فقط با ثبت نام در Bitland Exchange 500 میلیون جایزه سگ بچه دریافت کنید!

ثبت نام

با این حال، eZKalibur، یک صرافی غیرمتمرکز که مانند مرلین، بر روی پلتفرم zkSync کار می‌کند و همچنین، مانند مرلین، بخشی از کد قرارداد Camelot را فورک کرده است، ادعا می‌کند که کد مخرب مسئول تخلیه وجوه را شناسایی کرده است. در توییت eZKalibur در این باره می خوانیم:

این دو خط کد در تابع مقداردهی اولیه به آدرس feeTo اجازه می دهد تا مقدار نامحدودی از token0 و token1 را از آدرس قرارداد منتقل کند. به این ترتیب، آدرس feeTo می تواند تابع transferFrom را برای انتقال نشانه ها از آدرس قرارداد به خودش فراخوانی کند.

سرتیک چگونه این قرارداد را اصلاح کرد؟

توییت کالیبر آسان
منبع: توییتر

اگرچه Certik در حسابرسی خود از Dex Merlin بر خطر تمرکز تاکید کرد، برخی معتقدند که باید بر ریسک پول های سرکش تاکید می شد. eZKalibur در مصاحبه با TheBlock اظهار داشت:

حتی اگر چنین یافته ای به عنوان «عیب بحرانی» گزارش نشود، باید به عنوان «عیب عمده» گزارش شود و نمی توان آن را یک نقص ساده در تمرکززدایی پروژه دانست. این شکست بدون قفل زمانی می توانست منجر به خالی شدن کامل موجودی پروژه شود، اما شد!

توسعه دهندگان مرلین از کاربران خواسته اند مجوزهایی به آنها داده شود وب سایت مرلین لغو و اعلام کرده اند که در حال تجزیه و تحلیل سوء استفاده از این پروتکل هستند.



خبر فوق به نقل از رسانه اسمارتک نیوز در وبسایت اسمارتک نوشته شده است در تاریخ 2023-04-26 16:02:41

لینک کوتاه : https://iran360news.com/?p=19176

ثبت دیدگاه

مجموع دیدگاهها : 0در انتظار بررسی : 0انتشار یافته : 0
قوانین ارسال دیدگاه
  • دیدگاه های ارسال شده توسط شما، پس از تایید توسط تیم مدیریت در وب منتشر خواهد شد.
  • پیام هایی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
  • پیام هایی که به غیر از زبان فارسی یا غیر مرتبط باشد منتشر نخواهد شد.