Merlin、現在までに100万ドル以上が流動性プールから盗まれた
イーサリアムのレイヤー2”zk-sync”上のDEX「Merlin」が25日、ハッキングされ流動性プールから100万ドル(約1.3億円)以上の資金が盗まれたことがオンチェーンのデータから明らかとなった。
#PeckShieldAlert 当社のコミュニティ貢献者が、#zksync上のMerlin #DEXが悪用されたことを報告しました。エクスプロイターの一人0x2744…9b7は、~850K $USDCを掴み、#Ethereumにブリッジしています。
盗まれたのは、主に85万ドル相当のUSDCといくつかの流動性の低いトークンであった。ブロックチェーンに残されたデータによると、ハッキングは複雑でも洗練されているわけではなく、攻撃者は簡単に資金を流出させることができた。既にハッカーは大部分をETHに変え、Binance(バイナンス)やMEXCなどの仮想通貨取引所に送金していることがわかっている。
#PeckShieldAlert 〜165KドルのUSDCは、MerlinのDEXエクスプロイトからCEX、すなわち#Binance(31Kドル)、#MEXC(〜133.8Kドル)に転送されています。
このハッキング事件は、Merlinの独自トークン「MAGE」のパブリックセール中に発生した。投資家は、ハードキャップなしで3日間のイベントでMAGEトークンを購入することができ、調達された総額によって、すべてのユーザーのトークンの最終価格が決まるという形であった。Merlinは、現在までに本件に関する声明を発表していない。
Merlinの@zksyncでのパブリックセールが始まりました!。
3日間の流動性生成イベント(LGE)と$stMAGEのボーナスエアードロップは、$MAGEのパブリックセールの早期支援者に報います。
監査済みなのにハッキング
驚くべきことに、このMerlinはブロックチェーンセキュリティ企業「CertiK」による監査に合格していた。CertiKは事件を受けてTwitterを更新。声明を発表した。
我々は、Merlinのインシデントを積極的に調査しています。最初の調査結果では、根本的な原因として、悪用ではなく秘密鍵管理の問題の可能性を指摘しています。
監査は秘密鍵の問題を防ぐことはできませんが、私たちは常にプロジェクトにベストプラクティスを強調しています。
万が一、不正な…
なおCertiKは事件後、Merlinの監査結果について「No critical findings(致命的欠陥なし)」の表記を消し、改変を加えたことを指摘されている。
私たちは、すべてのコミュニティのメンバーがこの情報とすべての監査を十分に検討することをお勧めします。この困難な状況を乗り切るために、私たちはコミュニティの利益を守るために必要なすべての手段を講じていることを保証したいと思います。
関連:イーサリアムL2「zkSync」、「zkSync Era」α版を全ユーザーに提供開始
