Merlin, sàn giao dịch phi tập trung (DEX) chạy trên layer-2 zkSync, vừa trải qua một cuộc tấn công thiệt hại hơn 1,82 triệu USD.

Sáng ngày 26/04/2023 theo giờ Việt Nam, nhiều bên bảo mật blockchain cảnh báo rằng sàn DEX Merlin trên zkSync đang bị tấn công. Bọn tin tặc đã bòn rút tổng 1.823.477 USD từ Core Farming Pools của Merlin dưới dạng các đồng USDC, TAROT và ETH.

Hiện số tiền đánh cắp đang nằm trong hai ví:

1/ 0x0b8a3ef6307049aa0ff215720ab1fc885007393d

2/ 0x2744d62a1e9ab975f4d77fe52e16206464ea79b7

Kế đó, khoản tiền đã được hacker chuyển sang blockchain Ethereum.

Đáng chú ý là Merlin vừa được CertiK audit cách đây không lâu và mới bắt đầu public sale vào ngày hôm qua (25/04). Nhưng chưa đầy 24 giờ đã không thoát khỏi tầm ngắm của bọn hacker.

Dự án kêu gọi người dùng revoke nếu đã approve smart contract và cho biết vẫn đang trong quá trình điều tra vụ việc.

Developer announcement 📢

Can everyone revoke connected site access on your wallets/sign permission https://t.co/YRxH7IUU4T

We are analysing the exploit of our protocol and would stress that everyone carries out this step as a precaution.

More updates will be provided

— Merlin (@TheMerlinDEX) April 26, 2023

Về phía CertiK, đơn vị bảo mật vừa có báo cáo sơ bộ nhấn mạnh rằng nguyên nhân vụ việc đến từ lỗi private key chứ không phải lỗi đến từ các dòng mã code. Nghĩa là việc audit của CertiK hoàn toàn “uy tín”, bị lỗi là đến từ khâu thao tác của dự án và người dùng. (?!)

Tuy nhiên, báo cáo này chưa được chứng thực và chúng ta vẫn chưa biết chắc chắn lý do gây ra vụ tấn công là gì.

zkSync gần đây nổi lên như một dự án layer-2 có khả năng airdrop cho người dùng. Vì thế mà cộng đồng đổ xô bridge tài sản sang zkSync để làm retroactive, cũng tạo ra mảnh đất màu mỡ để bọn scammer, hacker hoành hành. Vì thế, cộng đồng nên cảnh giác trước những thủ đoạn tinh vi và lời hứa hẹn “màu hường” như vậy.

Ngoài ra, bản thân zkSync cũng có nhiều lỗi về mặt kỹ thuật, gây rắc rối không nhỏ cho những dự án muốn xây dựng trên nó. Trước đó đã có trường hợp của GemholicECO mắc kẹt 921 ETH tiền mở bán token trên zkSync Era.

Dự án layer-2 zkSync (zkS) cho biết 921 ETH tiền thu về từ đợt mở bán token của GemholicECO vẫn an toàn và đã có giải pháp để lấy lại số tiền này. 

Vào sàng ngày 07/04, dự án layer-2 zkS đã đăng thông báo về một sự cố mới xảy ra, theo đó đó một dự án có tên GemholicECO đã bị kẹt 921 ETH (tương đương 1,7 triệu USD) tiền mở bán token trong smart contract sau khi thực hiện một vòng pre-sale trên zkSync Era.

Nguyên nhân đến từ việc hợp đồng thông minh của GemholicECO đã sử dụng lệnh transfer (), vốn không được hỗ trợ bởi zkSync Era. Lệnh transfer() hay send() khả dụng trên Ethereum và tất cả các chuỗi tương thích EVM. Tuy nhiên, zkSync Era lại không có môi trường lập trình tương tự như trên Ethereum, do đó không thể xử lý những lệnh này. zkSync cho rằng nếu Gemholic đã thử triển khai smart contract của họ trên testnet trước khi mở bán token, vấn đề đã có thể được phát hiện và ngăn chặn.

Về bản chất, dù tương thích với Ethereum Virtual Machine (EVM), song zkSync Era tuyên bố bản thân “không tương đương với EVM” vì đã lựa chọn không sao chép toàn bộ các đặc tính có trên Ethereum, ví dụ như thiết lập gas cost có được phí gas rẻ hơn, để khắc phục các hạn chế còn tồn đọng của mạng lưới crypto lớn thứ hai thế giới. Merlin

Có thể bạn quan tâm:

Top những sàn giao dịch crypto uy tín: TẠI ĐÂY

Top những sàn giao dịch forex uy tín: TẠI ĐÂY

Kiến thức HIYP căn bản: TẠI ĐÂY

Lưu ý: Đây là nội dung được tài trợ, Hyip.vn không trực tiếp ủng hộ bất cứ thông tin gì từ bài viết trên và không đảm bảo tính trung thực của bài viết. Bạn đọc nên tự tiến hành nghiên cứu trước khi đưa ra các quyết định có ảnh hưởng đến bản thân hay doanh nghiệp của mình và sẵn sàng chịu trách nhiệm cho những lựa chọn của bản thân. Bài viết trên không nên được xem như là một lời khuyên đầu tư.