Hechos clave:
-
Una auditorĂa de seguridad del 23 de abril no detectĂł el problema.
-
Piden a los usuarios que revoquen los permisos desde sus wallets.
El exchange descentralizado (DEX) Merlin, basado en la segunda capa de Ethereum zkSync, fue vĂctima de un hackeo que resultĂł en el robo de más de USD 1,8 millones durante su venta pĂşblica de tokens MAGE. Recientemente, habĂa pasado una auditorĂa de seguridad de Certik.
Los atacantes lograron llevarse una gran cantidad de USD Coin (USDC) y otros tokens, detalla la empresa de seguridad blockchain PeckShield. EspecĂficamente, parte del botĂn estuvo compuesto por unos 850.000 USDC, muchos de los cuales se movieron luego a otras direcciones en exchanges centralizados, como Binance.
Merlin pidiĂł a los usuarios que revoquen los permisos de las wallets conectadas a su protocolo y su equipo afirma estar analizando el incidente. SegĂşn CertiK, la empresa de seguridad que habĂa realizado una auditorĂa al cĂłdigo del DEX el 23 de abril, el problema estarĂa relacionado con un error en la gestiĂłn de las claves privadas del protocolo, y no en una vulnerabilidad en su cĂłdigo.
Sin embargo, el DEX eZKalibur asegurĂł en Twitter haber encontrado las lĂneas incorrectas que posibilitaron el robo. “¿CĂłmo puede CertiK aprobar esto?”, escribieron. eZKalibur nace de la bifurcaciĂłn del cĂłdigo del DEX Camelot, al igual que Merlin.
En un evento de venta pĂşblica de tres dĂas, los desarrolladores de Merlin ofrecieron los tokens MAGE con un precio inicial de USD 45. Sin embargo, durante la venta, se produjo la explotaciĂłn de una vulnerabilidad en el cĂłdigo que permitiĂł a los atacantes drenar fondos del DEX.
De este modo, Merlin se convierte en la vĂctima del primer hackeo en la red principal de zkSync, que se lanzĂł a fines de marzo, como reportĂł CriptoNoticias. zkSync es una soluciĂłn de escalabilidad de Ethereum que utiliza la tecnologĂa de prueba de conocimiento cero (Zero Knowledge Proof, ZKP) para mejorar la eficiencia de las transacciones. Fue desarrollado por Matter Labs.
La auditorĂa que no detectĂł el problema en Merlin
Una de las cuestiones más llamativas de este caso es que Merlin habĂa superado el 23 de abril una auditorĂa de seguridad realizada por CertiK, una empresa reconocida en su rubro. CertiK es la encargada de auditar otros proyectos de renombre, como PancakeSwap, BNB Chain, Polygon y Aave.
Si bien el reporte de la empresa detalla sobre algunos errores para resolver en el cĂłdigo del DEX, el puntaje de seguridad que se le otorga a este es de 80,7. Es decir, es alto.
Este acontecimiento pone de relieve la importancia de la seguridad en el espacio de las finanzas descentralizadas (DeFi) y la necesidad de que los usuarios investiguen y sean cautelosos al participar en cualquier evento que implique ceder permisos desde sus wallets al protocolo.