Клиенты DEX-биржи Merlin лишились почти $2 млн
Неизвестные обчистили децентрализованную биржу Merlin на $1,8 млн, однако в криптосообществе подозревают проект в скаме
Неизвестный злоумышленник обчистил пулы ликвидности децентрализованной биржи Merlin на $1,8 млн в токенах. Об этом у себя в «Твиттере» сообщили аналитики PeckShield. Согласно опубликованным данным, похищенную криптовалюту пытаются продать на централизованных биржах, включая Binance.
Источник: twitter.com
Представители Merlin подтвердили взлом, однако не стали уточнять, что именно позволило хакерам провернуть атаку. При этом они призвали клиентов площадки отвязать кошельки от Merlin, чтобы избежать возможных потерь.
В криптовалютном сообществе подозревают в скаме самих разработчиков Merlin. Пользователь под ником @delucinator выяснил, что в коде смарт-контракта есть функция вывода токенов из пула на сторонний адрес.
Источник: twitter.com
При этом пользователь отметил, что Merlin проходила аудит у фирмы CertiK, которая не выразила опасений по поводу сомнительной функции.
В CertiK заявили, что расследуют инцидент. В фирме не стали прямо комментировать функцию вывода капитала из Merlin, однако напомнили, что предупреждали в своем аудите о рисках централизации проекта. Почему в CertiK в принципе согласились на аудит изначально централизованного проекта, непонятно.
Это не первый случай, когда CertiK обвиняют в некачественном аудите. Например, в 2022 году сразу два проекта, которые проходили проверку со стороны CertiK, стали жертвами взломов. Проект Defrost в результате атаки с помощью флэш-кредита обчистили на $12 млн, а Rubic Finance — на $1,4 млн. Представители CertiK утверждают, что не могут защитить инвесторов от всех потенциальных угроз. По словам фирмы, аудит проходит только тот код, который предоставляется клиентами.
- Merlin — это децентрализованная биржа на базе решения второго уровня zkSync. Предполагалось, что площадка сможет решить проблему ликвидности, которая часто наблюдается среди автономных криптобирж.
- Инцидент c Merlin произошел всего через пару дней после раздачи токенов площадки MAGE.