کریپتو

سرقت ۱.۸ میلیون دلار در هک صرافی غیر متمرکز مرلین؛ اعتبار بازبینی امنیتی سرتیک زیر سوال رفت

مرلین (Merlin) – صرافی غیرمتمرکزی که بر بستر zkSync (راهکار لایه ۲ اتریوم) فعالیت می‌کند – مدتی کوتاه پس از دریافت تاییدیه Certik هک شد و بیش از ۱.۸۲ میلیون دلار از دارایی‌های آن به سرقت رفت.

به نقل از TheBlock، سرتیک توییت کرد که در حال بررسی این حادثه است و یافته‌های اولیه آن حاکی از یک مشکل بالقوه در مدیریت کلید خصوصی است و نه لزوما سوء استفاده از کد. سرتیک در این باره اظهار داشت:

با وجود اینکه بازبینی امنیتی نمی‌تواند از مسائل نشئت گرفته از مدیریت کلید خصوصی جلوگیری کند، ما همیشه تلاش کرده‌ایم که روش‌های بهینه مدیریت کلید خصوصی را به پروژه‌ها گوشزد کنیم. با این حال در صورت کشف هرگونه کوتاهی از سوی ما، با مقامات مربوطه کار خواهیم کرد و اطلاعات مربوطه را منتشر خواهیم کرد. منتظر به‌روزرسانی‌های بعدی باشید.

۵۰۰ میلیون بیبی دوج رایگان
فقط با ثبت نام در صرافی بیت لند، ۵۰۰ میلیون بیبی دوج جایزه بگیرید!
ثبت نام

با این حال ایزی‌کلیبر (eZKalibur)، صرافی غیرمتمرکزی که مانند مرلین بر بستر zkSync فعالیت می‌کند و همچنین مانند مرلین بخشی از کد قرارداد صرافی کمِلات (Camelot) را فورک کرده است، ادعا می‌کند که کد مخربِ مسئول تخلیه وجوه را شناسایی کرده است. در توییت eZKalibur در این باره می‌خوانیم:

این دو خط کد در تابع مقداردهی اولیه به آدرس feeTo اجازه می‌دهند که مقدار نامحدودی از token0 و token1 را از آدرس قرارداد جابجا کنند. به این ترتیب آدرس feeTo می‌تواند تابع transferFrom را فراخوانی کند تا توکن‌ها را از آدرس قرارداد به خودش منتقل کند.

چطور Certik این قرارداد رو بازبینی کرده؟

توییت ایزی کالیبر
منبع: توییتر

با وجود اینکه Certik خطر تمرکز را در حسابرسی خود از دکس مرلین برجسته کرده است، برخی معتقدند که باید بر خطر راگ پول تاکید می‌شد. eZKalibur در مصاحبه با TheBlock اظهار داشت:

چنین یافته‌ای حتی اگر به عنوان یک «نقص بحرانی» گزارش نشد باید به عنوان یک «نقص عمده» گزارش می‌شد و نمی‌توان آن را یک نقص ساده در تمرکززدایی پروژه قلمداد کرد. این نقص بدون قفل زمانی می‌توانست به تخلیه کامل موجودی پروژه منجر شود کما اینکه شد!

توسعه‌دهندگان مرلین از کاربران خواسته‌اند مجوزهای اعطا شده به وب سایت مرلین را لغو کنند و اعلام کرده‌اند که در حال تجزیه و تحلیل سوء استفاده از این پروتکل هستند.




منبع

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
عیدانه