L'exchange decentralizzato Merlin ha subito una perdita di 1,82 milioni di $ il 26 aprile, poiché un aggressore ha prosciugato fondi da un pool di liquidità sul DEX basato su zkSync. Questo incidente solleva preoccupazioni sull'efficacia degli audit DeFi, poiché Merlin era stato sottoposto a audit dalla nota società di sicurezza CertiK solo pochi giorni prima dell'hack.

L'hacker è riuscito a prosciugare il pool di liquidità del Merlin DEX, lanciato solo pochi giorni prima, ed è stato costruito su zkSync, una soluzione di scaling Layer 2 basata su zk-rollup per Ethereum. I fondi, costituiti da token USDC, sono stati trasferiti da zkSync a Ethereum, con la società di sicurezza blockchain PeckShield e diversi membri della comunità che hanno identificato gli indirizzi dello sfruttatore.

Merlin’s Core Farming Pools aveva attirato investimenti significativi nei giorni successivi al lancio della piattaforma. L’impatto dell’hacking sulla vendita pubblica in corso del token MAGE rimane poco chiaro, ma ha sicuramente aumentato la cautela degli investitori.

Verifiche CertiK sotto esame

CertiK ha verificato numerosi progetti in passato che in seguito sono caduti vittime di hack, tra cui PancakeBunny, Uranium Finance e Meerkat Finance. Ciò ha portato a un crescente dubbio all'interno della comunità crypto sulla qualità delle verifiche. Inoltre, anche le generose lodi di CertiK al progetto Terra hanno fatto storcere il naso.

Snapshot del sito web CertiX del 16 aprile 2023

L'hacking di Merlin è avvenuto nonostante un rapporto di audit di CertiK che ha rilevato "Nessun risultato critico". CertiK ha suggerito che l'hacking potrebbe essere dovuto a un problema di gestione delle chiavi private piuttosto che a un exploit, sostenendo che gli audit non possono prevenire tali problemi. L'azienda ha anche assicurato che avrebbe condiviso le informazioni rilevanti con le autorità se si sospettasse un gioco scorretto.

Tracciamento dei fondi rubati

L'aggressore ha già iniziato a trasferire parte dei fondi rubati sugli exchange: PeckShield segnala che 133.800 USDC sono stati inviati a MEXC Global e 31.000 USDC a Binance.

$USDC è stato trasferito a CEX dagli sfruttatori di Merlin DEX da PeckShied

Questo incidente sottolinea la necessità per i progetti DeFi di concentrarsi sulla qualità degli audit e sulle loro misure di sicurezza per ottenere la fiducia del pubblico. Poiché il mercato DeFi continua a essere un obiettivo importante per gli hacker, la comunità crypto sta diventando sempre più cauta nei confronti degli audit e del loro ruolo nella mitigazione del rischio.