Buzz
Merlin, sàn giao dịch phi tập trung (DEX) chạy trên layer-2 zkSync, vừa rút tiền với số tiền 2 triệu USD. CertiK, đơn vị đã kiểm định cho Merlin, cam kết bồi thường thiệt hại.
[Cập nhật vào sáng ngày 27/04/2023:]
1 ngày sau khi phát hiện, cộng đồng đã xác nhận Merlin đã rút tiền, không phải hacker.
Mặc dù đã được CertiK kiểm định kỹ lưỡng, nhưng đội ngũ an ninh này vẫn không thể đảm bảo chống lại hành vi bất hợp pháp từ bên trong dự án.
Theo thông tin từ Twitter Merlin, một số thành viên trong đội back-end của dự án - những người có quyền kiểm soát mã code và private key - đã quyết tâm lấy cắp số tiền.
Các thành viên còn lại sẽ hợp tác với CertiK để cố gắng khôi phục số tiền đã mất, đồng thời tìm kiếm biện pháp pháp lý thích hợp.
CertiK cam kết sẽ bồi thường 2 triệu USD cho những người bị ảnh hưởng. Họ cũng đã bắt đầu truy tìm kẻ gian và xác định rằng họ đến từ Sebria, châu Âu.
CertiK kêu gọi kẻ gian trả lại tiền và chấp nhận mức thưởng whitehat là 20%. Điều này giúp giải quyết vấn đề một cách nhẹ nhàng hơn là phải đối mặt với hậu quả pháp lý.
Nguồn gốc bài viết:
Vào sáng ngày 26/04/2023 theo giờ Việt Nam, nhiều chuyên gia bảo mật blockchain cảnh báo rằng sàn DEX Merlin trên zkSync đang chịu tấn công. Kẻ xấu đã rút trộm tổng cộng 1.823.477 USD từ các Hồ bơi Nông nghiệp Cốt lõi của Merlin bằng các loại tiền USDC, TAROT và ETH.
Số tiền bị đánh cắp hiện đang được lưu trữ trong hai ví sau:
1/ 0x0b8a3ef6307049aa0ff215720ab1fc885007393d
2/ 0x2744d62a1e9ab975f4d77fe52e16206464ea79b7
Sau đó, số tiền đã bị hacker chuyển sang blockchain Ethereum.
Đáng chú ý, Merlin đã vừa được CertiK kiểm định cách đây không lâu và chỉ mới bắt đầu bán công khai vào ngày hôm qua (25/04). Nhưng chưa đầy 24 giờ đã rơi vào tầm ngắm của hacker.
Dự án khuyến khích người dùng revoke nếu họ đã duyệt smart contract và thông báo vẫn đang tiến hành điều tra sự cố.
Đối với CertiK, đơn vị bảo mật vừa công bố một báo cáo sơ bộ nhấn mạnh rằng nguyên nhân của vụ việc xuất phát từ lỗi private key chứ không phải từ mã code. Điều này có nghĩa là việc kiểm định của CertiK là hoàn toàn 'đáng tin cậy', vấn đề nằm ở quy trình hoạt động của dự án và người sử dụng. (?!)
Tuy nhiên, báo cáo này chưa được xác minh và chúng ta vẫn chưa rõ ràng về nguyên nhân gây ra vụ tấn công.
zkSync gần đây trở nên phổ biến như một dự án layer-2 có khả năng airdrop cho người dùng. Do đó, cộng đồng đang rủ nhau chuyển tài sản sang zkSync để nhận được phần thưởng retroactive, tạo điều kiện thuận lợi cho bọn scammer, hacker hoạt động. Cộng đồng nên đề phòng trước những chiêu trò tinh vi và những lời hứa quá ngọt ngào như vậy.
Ngoài ra, zkSync cũng gặp phải nhiều vấn đề kỹ thuật, gây ra rắc rối cho các dự án muốn xây dựng trên nền tảng này. Trước đó, GemholicECO đã mắc kẹt 921 ETH khi mở bán token trên zkSync Era.
Mytour
- Sàn DEX ArbiSwap trên Arbitrum “rug pull” người dùng
- zkSync Era gặp sự cố, đã tạm ngừng sinh block mới từ 3 giờ trước
