Thứ tư, 26/04/2023, 13:57 (GMT + 7)

Sàn DEX trên zkSync bị bòn rút 1,82 triệu USD ngay cả khi vừa được kiểm toán bởi CertiK

Dự án đã thu hút sự chú ý của người dùng Crypto Twitter vì lợi tức hấp dẫn được cung cấp trên tiền gửi.

Sàn giao dịch phi tập trung mới chạy trên zkSync, Merlin dường như đã bị hack với giá trị hơn 1,82 triệu USD vào sáng nay trong đợt bán công khai mã thông báo MAGE.

Sáng ngày 26/04/2023 theo giờ Việt Nam, nhiều bên bảo mật blockchain cảnh báo rằng sàn DEX Merlin trên zkSync đang bị tấn công. Bọn tin tặc đã bòn rút tổng 1.823.477 USD từ Core Farming Pools của Merlin dưới dạng các đồng USDC, TAROT và ETH.

#PeckShieldAlert Our community contributor has reported that Merlin #DEX on #zksync was exploited. One of the exploiters 0x2744...9b7 has grabbed ~850K $USDC and bridged them to #Ethereum https://t.co/hfgjJJY7Ml pic.twitter.com/07uSGMAt7e
— PeckShieldAlert (@PeckShieldAlert) April 26, 2023

Ngoài USDC, 2 mã thông báo bị nhắm tới tương đối kém thanh khoản. Dữ liệu chuỗi khối gợi ý rằng một số tổ chức có quyền kiểm soát nhóm thanh khoản có thể rút tiền một cách dễ dàng – có nghĩa đây không phải là một vụ hack phức tạp hoặc quá tinh vi.

Cuộc tấn công xảy ra mặc dù Merlin vừa thực hiện một cuộc kiểm toán do công ty bảo mật chuỗi khối CertiK thực hiện. “Không có Phát hiện Quan trọng nào,” cuộc kiểm toán kết luận và đăng tải trên trang web của CertiK.

Merlin đã phát hành mã thông báo MAGE của mình trong đợt bán công khai cho các nhà đầu tư trong một sự kiện kéo dài ba ngày mà không có bất kỳ giới hạn cứng nào. “$MAGE sẽ bắt đầu giao dịch ở mức 45 USD, với giá trị thị trường là 850 nghìn USD. Tổng số tiền huy động được sẽ xác định giá cuối cùng của mã thông báo cho tất cả người dùng,” các nhà phát triển cho biết hôm thứ Ba (25/4).

Dự án kêu gọi người dùng revoke nếu đã approve smart contract và cho biết vẫn đang trong quá trình điều tra vụ việc.

Developer announcement 📢

Can everyone revoke connected site access on your wallets/sign permission https://t.co/YRxH7IUU4T

We are analysing the exploit of our protocol and would stress that everyone carries out this step as a precaution.

More updates will be provided
— Merlin (@TheMerlinDEX) April 26, 2023

Về phía CertiK, đơn vị bảo mật vừa có báo cáo sơ bộ nhấn mạnh rằng nguyên nhân vụ việc đến từ lỗi private key chứ không phải lỗi đến từ các dòng mã code. Nghĩa là việc audit của CertiK hoàn toàn "uy tín", bị lỗi là đến từ khâu thao tác của dự án và người dùng.

VIC Crypto tổng hợp

Bài viết liên quan:

Giao thức lending trên Optimism bị cáo buộc lừa đảo 4 triệu USD, mã thông báo mất giá 95% chỉ trong vài phút