Sàn giao dịch phi tập trung Merlin đã bị lỗ 1,82 triệu USD vào ngày 26 tháng 4 khi kẻ tấn công rút tiền từ nhóm thanh khoản trên DEX dựa trên zkSync. Sự cố này làm dấy lên mối lo ngại về tính hiệu quả của hoạt động kiểm tra DeFi, vì Merlin đã được kiểm toán bởi công ty bảo mật nổi tiếng CertiK chỉ vài ngày trước khi vụ hack.

Tin tặc đã làm cạn kiệt nhóm thanh khoản của Merlin DEX, vốn chỉ mới ra mắt vài ngày trước đó và được xây dựng trên zkSync, một giải pháp mở rộng quy mô dựa trên zk-rollup Lớp 2 cho Ethereum. Các quỹ, bao gồm các token USDC, được chuyển từ zkSync sang Ethereum, với công ty bảo mật blockchain PeckShield và một số thành viên cộng đồng xác định địa chỉ của kẻ khai thác.

Core Farming Pools của Merlin đã thu hút được khoản đầu tư đáng kể trong những ngày sau khi nền tảng này ra mắt. Tác động của vụ hack đối với việc bán công khai mã thông báo MAGE đang diễn ra vẫn chưa rõ ràng, nhưng nó chắc chắn đã khiến các nhà đầu tư cảnh giác.

Kiểm toán CertiK được giám sát chặt chẽ

Trước đây, CertiK đã kiểm toán nhiều dự án mà sau đó trở thành nạn nhân của các vụ hack, bao gồm PancakeBunny, Uranium Finance và Meerkat Finance. Điều này đã dẫn đến sự nghi ngờ ngày càng tăng trong cộng đồng tiền điện tử về chất lượng kiểm toán. Hơn nữa, lời khen ngợi hết lời của CertiK dành cho dự án Terra cũng khiến nhiều người phải ngạc nhiên.

Ảnh chụp nhanh trang web CertiX vào ngày 16 tháng 4 năm 2023

Vụ hack Merlin xảy ra bất chấp báo cáo kiểm toán từ CertiK cho thấy "Không có phát hiện quan trọng". CertiK cho rằng vụ hack có thể là do vấn đề quản lý khóa riêng tư chứ không phải do khai thác, đồng thời tuyên bố rằng việc kiểm tra không thể ngăn chặn những vấn đề như vậy. Công ty cũng đảm bảo rằng họ sẽ chia sẻ thông tin liên quan với chính quyền nếu nghi ngờ có hành vi gian lận.

Theo dõi số tiền bị đánh cắp

Kẻ tấn công đã bắt đầu chuyển một số tiền bị đánh cắp sang các sàn giao dịch, PeckShield báo cáo rằng 133.800 USDC đã được gửi đến MEXC Global và 31.000 USDC đến Binance.

$USDC đã được PeckShied chuyển đến CEX từ các công cụ khai thác Merlin DEX

Sự cố này nhấn mạnh sự cần thiết của các dự án DeFi phải tập trung vào chất lượng kiểm toán và các biện pháp bảo mật của chúng để có được lòng tin của công chúng. Khi thị trường DeFi tiếp tục là mục tiêu chính của tin tặc, cộng đồng tiền điện tử ngày càng trở nên thận trọng với các cuộc kiểm toán và vai trò của chúng trong việc giảm thiểu rủi ro.