هک ۱.۸۲میلیون دلاری صرافی غیرمتمرکز مرلین

به گزارش آسان بیت کوین و به نقل از «theblock»، صرافی مرلین (Merlin)، صرافی غیرمتمرکزی که بر بستر پروتکل زی‌کی‌سینک (zkSync) فعالیت می‌کند، مدتی کوتاه پس از دریافت تاییدیه سرتیک هک شد و بیش از ۱.۸۲ میلیون دلار از دارایی‌های آن به سرقت رفت.

سرتیک توییت کرد که در حال بررسی این حادثه است و یافته‌های اولیه آن حاکی از یک مشکل بالقوه در مدیریت کلید خصوصی است و نه لزوما سوء استفاده از کد. سرتیک در این باره اظهار داشت:

«با وجود اینکه بازبینی امنیتی نمی‌تواند از مسائل نشئت گرفته از مدیریت کلید خصوصی جلوگیری کند، ما همیشه تلاش کرده‌ایم که روش‌های بهینه مدیریت کلید خصوصی را به پروژه‌ها گوشزد کنیم. با این حال در صورت کشف هرگونه کوتاهی از سوی ما، با مقامات مربوطه کار خواهیم کرد و اطلاعات مربوطه را منتشر خواهیم کرد. منتظر به‌روزرسانی‌های بعدی باشید.»

با این حال ایزی‌کلیبر (eZKalibur)، صرافی غیرمتمرکزی که مانند مرلین بر بستر زی‌کی‌سینک فعالیت می‌کند و همچنین مانند مرلین بخشی از کد قرارداد صرافی کمِلات (Camelot) را فورک کرده است، ادعا می‌کند که کد مخربِ مسئول تخلیه وجوه را شناسایی کرده است. در توییت «eZKalibur» در این باره می‌خوانیم:

«این دو خط کد در تابع مقداردهی اولیه به آدرس feeTo اجازه می‌دهند که مقدار نامحدودی از token0 و token1 را از آدرس قرارداد جابجا کنند. به این ترتیب آدرس feeTo می‌تواند تابع transferFrom را فراخوانی کند تا توکن‌ها را از آدرس قرارداد به خودش منتقل کند.»

با وجود اینکه سرتیک خطر تمرکز را در حسابرسی خود از دکس مرلین برجسته کرده است، برخی معتقدند که باید بر خطر راگ پول تاکید می‌شد. «eZKalibur» در مصاحبه با «theblock» اظهار داشت:

«چنین یافته‌ای حتی اگر به عنوان یک «نقص بحرانی» گزارش نشد باید به عنوان یک «نقص عمده» گزارش می‌شد و نمی‌توان آن را یک نقص ساده در تمرکززدایی پروژه قلمداد کرد. این نقص بدون قفل زمانی می‌توانست به تخلیه کامل موجودی پروژه منجر شود کما اینکه شد!»

توسعه‌دهندگان مرلین از کاربران خواسته‌اند مجوزهای اعطا شده به وب سایت مرلین را لغو کنند و اعلام کرده‌اند که در حال تجزیه و تحلیل سوء استفاده از این پروتکل هستند.

لینک کوتاه: b2n.ir/x69107