A exchange descentralizada Merlin sofreu uma perda de US$ 1,82 milhão em 26 de abril, quando um invasor drenou fundos de um pool de liquidez no DEX baseado em zkSync. Este incidente levanta preocupações sobre a eficácia das auditorias DeFi, já que Merlin foi auditado pela conhecida empresa de segurança CertiK poucos dias antes do hack.

O hacker conseguiu esgotar o pool de liquidez do Merlin DEX, que havia sido lançado apenas alguns dias antes, e foi construído em zkSync, uma solução de escalonamento baseada em zk-rollup de Camada 2 para Ethereum. Os fundos, consistindo em tokens USDC, foram transferidos do zkSync para o Ethereum, com a empresa de segurança blockchain PeckShield e vários membros da comunidade identificando os endereços do explorador.

Os Core Farming Pools do Merlin atraíram investimentos significativos nos dias seguintes ao lançamento da plataforma. O impacto do hack na venda pública em curso do token MAGE permanece incerto, mas certamente aumentou a cautela dos investidores.

Auditorias CertiK sob escrutínio

A CertiK auditou vários projetos no passado que mais tarde foram vítimas de hacks, incluindo PancakeBunny, Uranium Finance e Meerkat Finance. Isto levou a dúvidas crescentes na comunidade criptográfica sobre a qualidade das auditorias. Além disso, os elogios generosos da CertiK ao projeto Terra também levantaram sobrancelhas.

Instantâneo do site da CertiX em 16 de abril de 2023

O hack do Merlin ocorreu apesar de um relatório de auditoria da CertiK que encontrou “Nenhuma descoberta crítica”. CertiK sugeriu que o hack poderia ser devido a um problema de gerenciamento de chave privada, e não a uma exploração, alegando que as auditorias não podem evitar tais problemas. A empresa também garantiu que compartilharia informações relevantes com as autoridades caso houvesse suspeita de crime.

Rastreando os fundos roubados

O invasor já começou a transferir alguns dos fundos roubados para exchanges, com PeckShield relatando que US$ 133.800 USDC foram enviados para MEXC Global e US$ 31.000 USDC para Binance.

$USDC foi transferido para CEXes dos exploradores Merlin DEX por PeckShied

Este incidente sublinha a necessidade de os projetos DeFi se concentrarem na qualidade das auditorias e nas suas medidas de segurança para ganhar a confiança do público. À medida que o mercado DeFi continua a ser um alvo importante para hackers, a comunidade criptográfica está se tornando cada vez mais cautelosa em relação às auditorias e ao seu papel na mitigação de riscos.