El exchange descentralizado (DEX) Merlin, basado en la segunda capa de Ethereum zkSync, fue víctima de un hackeo que resultó en el robo de más de USD 1,8 millones durante su venta pública de tokens MAGE. Recientemente, había pasado una auditoría de seguridad de Certik.

Los atacantes lograron llevarse una gran cantidad de USD Coin (USDC) y otros tokens, detalla la empresa de seguridad blockchain PeckShield. Específicamente, parte del botín estuvo compuesto por unos 850.000 USDC, muchos de los cuales se movieron luego a otras direcciones en exchanges centralizados, como Binance.

Merlin pidió a los usuarios que revoquen los permisos de las wallets conectadas a su protocolo y su equipo afirma estar analizando el incidente. Según CertiK, la empresa de seguridad que había realizado una auditoría al código del DEX el 23 de abril, el problema estaría relacionado con un error en la gestión de las claves privadas del protocolo, y no en una vulnerabilidad en su código.

Sin embargo, el DEX eZKalibur aseguró en Twitter haber encontrado las líneas incorrectas que posibilitaron el robo. “¿Cómo puede CertiK aprobar esto?”, escribieron. eZKalibur nace de la bifurcación del código del DEX Camelot, al igual que Merlin.

secuencia de los movimientos de los fondos hackeados a merlin
Los movimientos de fondos del hacker de Merlin. Fuente: @PeckShieldAlert /Twitter.com

En un evento de venta pública de tres días, los desarrolladores de Merlin ofrecieron los tokens MAGE con un precio inicial de USD 45. Sin embargo, durante la venta, se produjo la explotación de una vulnerabilidad en el código que permitió a los atacantes drenar fondos del DEX.

De este modo, Merlin se convierte en la víctima del primer hackeo en la red principal de zkSync, que se lanzó a fines de marzo, como reportó CriptoNoticias. zkSync es una solución de escalabilidad de Ethereum que utiliza la tecnología de prueba de conocimiento cero (Zero Knowledge Proof, ZKP) para mejorar la eficiencia de las transacciones. Fue desarrollado por Matter Labs.

grafico muestra desempeño del precio del token MAGE del DEX Merlin, en paridad con USDC desde el inicio de su existencia hasta el 26 de abril del 2023
Así evolucionó el precio del token MAGE, de Merlin, en sus primeras horas de existencia. Fuente: CoinMarketCap

La auditoría que no detectó el problema en Merlin

Una de las cuestiones más llamativas de este caso es que Merlin había superado el 23 de abril una auditoría de seguridad realizada por CertiK, una empresa reconocida en su rubro. CertiK es la encargada de auditar otros proyectos de renombre, como PancakeSwap, BNB Chain, Polygon y Aave.

Según Certik el exchange merlin cuenta con un puntaje de 47,5 en su seguridad
El puntaje de seguridad de Merlin DEX es de 47,5 en CertiK al momento de redacción de esta nota. Fuente: CertiK https://skynet.certik.com/projects/merlin-dex

Si bien el reporte de la empresa detalla sobre algunos errores para resolver en el código del DEX, el puntaje de seguridad que se le otorga a este es de 80,7. Es decir, es alto.

fallas detectadas en el codigo del DEX merlin por la auditoria de Certik
La auditoría de CertiK detectó algunas fallas en el código de Merlin, pero no fue suficiente para prevenir el hackeo. Fuente: CertiK

Este acontecimiento pone de relieve la importancia de la seguridad en el espacio de las finanzas descentralizadas (DeFi) y la necesidad de que los usuarios investiguen y sean cautelosos al participar en cualquier evento que implique ceder permisos desde sus wallets al protocolo.





Enlace fuente

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *