Hechos clave:
-
Una auditoría de seguridad del 23 de abril no detectó el problema.
-
Piden a los usuarios que revoquen los permisos desde sus wallets.
El exchange descentralizado (DEX) Merlin, basado en la segunda capa de Ethereum zkSync, fue víctima de un hackeo que resultó en el robo de más de USD 1,8 millones durante su venta pública de tokens MAGE. Recientemente, había pasado una auditoría de seguridad de Certik.
Los atacantes lograron llevarse una gran cantidad de USD Coin (USDC) y otros tokens, detalla la empresa de seguridad blockchain PeckShield. Específicamente, parte del botín estuvo compuesto por unos 850.000 USDC, muchos de los cuales se movieron luego a otras direcciones en exchanges centralizados, como Binance.
Merlin pidió a los usuarios que revoquen los permisos de las wallets conectadas a su protocolo y su equipo afirma estar analizando el incidente. Según CertiK, la empresa de seguridad que había realizado una auditoría al código del DEX el 23 de abril, el problema estaría relacionado con un error en la gestión de las claves privadas del protocolo, y no en una vulnerabilidad en su código.
Sin embargo, el DEX eZKalibur aseguró en Twitter haber encontrado las líneas incorrectas que posibilitaron el robo. “¿Cómo puede CertiK aprobar esto?”, escribieron. eZKalibur nace de la bifurcación del código del DEX Camelot, al igual que Merlin.
En un evento de venta pública de tres días, los desarrolladores de Merlin ofrecieron los tokens MAGE con un precio inicial de USD 45. Sin embargo, durante la venta, se produjo la explotación de una vulnerabilidad en el código que permitió a los atacantes drenar fondos del DEX.
De este modo, Merlin se convierte en la víctima del primer hackeo en la red principal de zkSync, que se lanzó a fines de marzo, como reportó CriptoNoticias. zkSync es una solución de escalabilidad de Ethereum que utiliza la tecnología de prueba de conocimiento cero (Zero Knowledge Proof, ZKP) para mejorar la eficiencia de las transacciones. Fue desarrollado por Matter Labs.
La auditoría que no detectó el problema en Merlin
Una de las cuestiones más llamativas de este caso es que Merlin había superado el 23 de abril una auditoría de seguridad realizada por CertiK, una empresa reconocida en su rubro. CertiK es la encargada de auditar otros proyectos de renombre, como PancakeSwap, BNB Chain, Polygon y Aave.
Si bien el reporte de la empresa detalla sobre algunos errores para resolver en el código del DEX, el puntaje de seguridad que se le otorga a este es de 80,7. Es decir, es alto.
Este acontecimiento pone de relieve la importancia de la seguridad en el espacio de las finanzas descentralizadas (DeFi) y la necesidad de que los usuarios investiguen y sean cautelosos al participar en cualquier evento que implique ceder permisos desde sus wallets al protocolo.
