Zdecentralizowana giełda Merlin poniosła stratę w wysokości 1,82 miliona dolarów 26 kwietnia, gdy atakujący wyczyścił fundusze z puli płynności na giełdzie zdecentralizowanej DEX opartej na zkSync. Incydent ten budzi obawy co do skuteczności audytów DeFi, ponieważ Merlin została poddana audytowi przez znaną firmę ochroniarską CertiK zaledwie kilka dni przed włamaniem.

Hakerowi udało się wyczerpać pulę płynności Merlin DEX, która została uruchomiona zaledwie kilka dni wcześniej i została zbudowana na zkSync, skalowalnym rozwiązaniu opartym na warstwie 2 zk-rollup dla Ethereum. Fundusze, składające się z tokenów USDC, zostały połączone z zkSync do Ethereum, a firma zajmująca się bezpieczeństwem blockchain PeckShield i kilku członków społeczności zidentyfikowało adresy eksploratora.

Merlin’s Core Farming Pools przyciągnął znaczące inwestycje w dniach następujących po uruchomieniu platformy. Wpływ hacka na trwającą publiczną sprzedaż tokena MAGE pozostaje niejasny, ale z pewnością wzbudził ostrożność inwestorów.

Audyty CertiK pod lupą

CertiK w przeszłości audytował wiele projektów, które później padły ofiarą włamań, w tym PancakeBunny, Uranium Finance i Meerkat Finance. Doprowadziło to do wzrostu wątpliwości w społeczności kryptowalutowej co do jakości audytów. Ponadto, hojne pochwały CertiK dla projektu Terra również wzbudziły zdziwienie.

Migawka witryny CertiX z 16 kwietnia 2023 r.

Atak na Merlin miał miejsce pomimo raportu audytu CertiK, który nie wykazał „żadnych krytycznych ustaleń”. CertiK zasugerował, że atak mógł być spowodowany problemem z zarządzaniem kluczem prywatnym, a nie luką w zabezpieczeniach, twierdząc, że audyty nie mogą zapobiec takim problemom. Firma zapewniła również, że podzieli się odpowiednimi informacjami z władzami, jeśli podejrzewa się przestępstwo.

Śledzenie skradzionych funduszy

Atakujący zaczął już przesyłać część skradzionych środków na giełdy. PeckShield poinformował, że 133 800 USDC zostało wysłane do MEXC Global, a 31 000 USDC do Binance.

$USDC zostało przeniesione na giełdy CEX z eksploatatorów Merlin DEX przez PeckShied

Ten incydent podkreśla potrzebę skupienia się projektów DeFi na jakości audytów i ich środkach bezpieczeństwa, aby zyskać zaufanie publiczne. Ponieważ rynek DeFi nadal jest głównym celem hakerów, społeczność kryptowalut staje się coraz bardziej ostrożna w kwestii audytów i ich roli w łagodzeniu ryzyka.