zkSync上のDEX「Merlin」、ハッキング被害｜100万ドル以上が流出

2023年04月26日 18時33分

JinaCoinの約束

JinaCoin（ジナコイン）は、株式会社jaybeが運営をおこなうWebメディアです。読者がより賢明な金銭的判断を下せるように努めています。私たちは編集の完全性を厳守していますが、この記事には企業からのPRが含まれている場合があります。ここでは、私たちのビジネスモデルについて説明します。

編集ポリシー

編集ガイドライン

JinaCoinの編集チームは、読者であるあなたに代わって記事を書いています。ここでは、私たちの編集ガイドラインと、私たちがどのようにお金を稼ぐかについての基本情報をご紹介します。

概要

編集部は、読者の信頼を大切にしています。私たちの目標は、読者が暗号資産（仮想通貨）や外国為替証拠金取引（FX）を最大限に活用し、人生のファイナンシャル・ジャーニーをナビゲートできるようにすることです。私たちは、読者に正確で偏りのない情報を提供する責任があり、それを実現するために編集基準を設けています。
私たちは、広告主と私たちの編集対象との間に明確な分離を維持しています。私たちの使命は、読者が経済的な面で最良の決断をするために、最高の情報を提供することです。

主要な原則

正確さ：私たちの編集チームは、コンテンツが私たちの高い基準を満たすように、記事を徹底的に見直し、事実確認を行います。当社は、正確な情報を提供する責任を真摯に受け止めており、編集部が作成した記事に誤りがあったり、誤解を招くような情報を掲載した場合は、訂正や説明を行います。JinaCoinの記事で不正確な情報を見つけた場合は、弊社お問い合わせフォームまでメールでご報告ください。

独立性：私たちは、編集内容が広告主の影響を受けないように、厳格なガイドラインに従っています。編集部は、広告主から直接報酬を受け取ることはありません。記事であれレビューであれ、信頼に足る確かな情報を得ることができると信じてください。

信頼性：編集部は、社内外の専門家に定期的にインタビューを行い、その引用をコンテンツに盛り込んでいます。さらに、社内外の情報源からデータなどを引用しています。すべての引用とデータは、信頼できる評判の高い情報源からのものです。また、外部の出版物からデータやその他の独自情報を引用する場合は、出典を特定し、またはリンクを張ります。

私たちのビジネスモデル

編集部は、広告主から直接報酬を受け取ることはありません。本サイトに掲載されている商品は、私たちに報酬を支払う企業からのものです。この報酬は、例えば、掲載カテゴリー内での掲載順など、本サイトにおける製品の掲載方法および掲載場所に影響を与える場合があります。しかし、この報酬は、当社が公開する情報や、お客様が当サイトで目にするレビューに影響を与えるものではありません。jinanbo11.comは、すべての企業や利用可能なすべての商品を掲載しているわけではありません。私たちのビジネスモデルをについては、こちらで詳細をご覧いただけます。
広告掲載・提携について

Remodalサンプル

テキストテキストテキストテキストテキストテキストテキストテキストテキストテキストテキスト

本コンテンツで紹介しているサービスには財務局の関東財務局並びに近畿財務局の認可を得て運営されている暗号資産業者が提供するものと認可を受けていない暗号資産業者が含まれています。

【当サイトは金融庁の広告に関するガイドラインに則り運営をおこなっています】
金融商品取引法
 金融商品取引法における広告等規制について
 広告等に関するガイドライン

Merlin、現在までに100万ドル以上が流動性プールから盗まれた

イーサリアムのレイヤー2”zk-sync”上のDEX「Merlin」が25日、ハッキングされ流動性プールから100万ドル（約1.3億円）以上の資金が盗まれたことがオンチェーンのデータから明らかとなった。

#PeckShieldAlert Our community contributor has reported that Merlin #DEX on #zksync was exploited. One of the exploiters 0x2744…9b7 has grabbed ~850K $USDC and bridged them to #Ethereum https://t.co/hfgjJJY7Ml pic.twitter.com/07uSGMAt7e
— PeckShieldAlert (@PeckShieldAlert) April 26, 2023

#PeckShieldAlert 当社のコミュニティ貢献者が、#zksync上のMerlin #DEXが悪用されたことを報告しました。エクスプロイターの一人0x2744…9b7は、~850K $USDCを掴み、#Ethereumにブリッジしています。

盗まれたのは、主に85万ドル相当のUSDCといくつかの流動性の低いトークンであった。ブロックチェーンに残されたデータによると、ハッキングは複雑でも洗練されているわけではなく、攻撃者は簡単に資金を流出させることができた。既にハッカーは大部分をETHに変え、Binance（バイナンス）やMEXCなどの仮想通貨取引所に送金していることがわかっている。

#PeckShieldAlert ~165K $USDC has been transferred to #CEXes, i.e.,#Binance ($31K), #MEXC (~$133.8K) from the Merlin #DEX exploiters pic.twitter.com/F7QkexPyac
— PeckShieldAlert (@PeckShieldAlert) April 26, 2023

#PeckShieldAlert 〜165KドルのUSDCは、MerlinのDEXエクスプロイトからCEX、すなわち#Binance（31Kドル）、#MEXC（〜133.8Kドル）に転送されています。

このハッキング事件は、Merlinの独自トークン「MAGE」のパブリックセール中に発生した。投資家は、ハードキャップなしで3日間のイベントでMAGEトークンを購入することができ、調達された総額によって、すべてのユーザーのトークンの最終価格が決まるという形であった。Merlinは、現在までに本件に関する声明を発表していない。

Merlin’s Public Sale on @zksync has now started!🧙

A 3-day Liquidity Generation Event (LGE) and bonus airdrop🪂 of $stMAGE will reward early backers of the Public Sale of $MAGE.

🪄https://t.co/RfCwlMY52f

More details below 🧵 pic.twitter.com/GCoTMetnxQ
— Merlin (@TheMerlinDEX) April 25, 2023

Merlinの@zksyncでのパブリックセールが始まりました！。
3日間の流動性生成イベント（LGE）と$stMAGEのボーナスエアードロップは、$MAGEのパブリックセールの早期支援者に報います。

監査済みなのにハッキング

驚くべきことに、このMerlinはブロックチェーンセキュリティ企業「CertiK」による監査に合格していた。CertiKは事件を受けてTwitterを更新。声明を発表した。

We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.

While audits cannot prevent private key issues, we always highlight best practices to projects.

Should any foul…
— CertiK (@CertiK) April 26, 2023

我々は、Merlinのインシデントを積極的に調査しています。最初の調査結果では、根本的な原因として、悪用ではなく秘密鍵管理の問題の可能性を指摘しています。
監査は秘密鍵の問題を防ぐことはできませんが、私たちは常にプロジェクトにベストプラクティスを強調しています。
万が一、不正な…

なおCertiKは事件後、Merlinの監査結果について「No critical findings（致命的欠陥なし）」の表記を消し、改変を加えたことを指摘されている。