分散型取引所Merlinは4月26日、攻撃者がzkSyncベースのDEXの流動性プールから資金を流出させたため、182万ドルの損失を被った。この事件は、ハッキングのわずか数日前にMerlinが有名なセキュリティ会社CertiKによって監査されていたため、DeFi監査の有効性に対する懸念を引き起こしている。
ハッカーは、数日前にローンチされたばかりのMerlin DEXの流動性プールを枯渇させることに成功した。このDEXは、イーサリアムのレイヤー2 zkロールアップベースのスケーリングソリューションであるzkSync上に構築されていた。USDCトークンで構成される資金はzkSyncからイーサリアムにブリッジされ、ブロックチェーンセキュリティ企業PeckShieldと数人のコミュニティメンバーがハッカーのアドレスを特定した。
マーリンのコアファーミングプールは、プラットフォームの立ち上げ後数日間で多額の投資を集めた。ハッキングがMAGEトークンの進行中の公開販売にどのような影響を与えるかは不明だが、投資家の警戒が高まったことは確かだ。
CertiK 監査が精査される
CertiK は過去に、PancakeBunny、Uranium Finance、Meerkat Finance など、後にハッキングの被害に遭った数多くのプロジェクトを監査してきました。このため、仮想通貨コミュニティ内では監査の質に対する疑念が高まっています。さらに、CertiK が Terra プロジェクトを絶賛したことも、人々の注目を集めています。
Merlin のハッキングは、CertiK の監査報告書で「重大な発見なし」とされていたにもかかわらず発生した。CertiK は、監査ではそのような問題を防ぐことはできないと主張し、ハッキングはエクスプロイトではなく秘密鍵管理の問題によるものである可能性があると示唆した。同社はまた、不正行為が疑われる場合は関連情報を当局と共有すると確約した。
盗まれた資金を追跡
攻撃者はすでに盗んだ資金の一部を取引所に移し始めており、PeckShieldは133,800ドルのUSDCがMEXC Globalに、31,000ドルのUSDCがBinanceに送金されたと報告している。
この事件は、DeFi プロジェクトが一般の信頼を得るために監査の質とセキュリティ対策に重点を置く必要があることを強調しています。DeFi 市場は引き続きハッカーの主要なターゲットであるため、暗号通貨コミュニティは監査とリスク軽減におけるその役割に対してますます慎重になっています。