當前處於 alpha 階段的 zkSync Era 頻傳災情,其生態中的項目更是屢屢出現跑路(Rug)、遭駭的窘境。其中 DEX 項目 Merlin 才在 4/25 晚間十一點宣布開啟其代幣 $MAGE 的公募,今早就傳出遭駭 180 萬美元。
(前情提要:L2熱潮》zkSync Era鎖倉突破1.4億鎂!生態最大DEX SyncSwap宣佈發幣)
(背景補充:L2深度分析》zkSync Era 是什麼?與Lite性能差異?埋伏空投互動教學)
基於零知識證明技術(ZK rollup)的以太坊 L2 擴容方案 zkSync,在 3 月 24 日啟動主網 zkSync Era 後,迅速獲得市場投資人關注,僅不到兩週時間內,其鎖倉量(TVL)就突破 1 億美元。
zkSync 生態 DEX Merlin 遭駭 180 萬美元
然而,隨著使用者快速攀升,當前處於 alpha 階段的 zkSync Era 卻頻傳災情,不僅在月初出現主網宕機情況,一度暫停出塊逾 3 小時,其生態中的項目更是屢屢出現跑路(Rug)、遭駭的窘境。
延伸閱讀:zkSync Era出包》921 ETH卡合約無法領!團隊承認:部分函數非EVM等效
其中 zkSync Era 生態鎖倉量(TVL)第八大的協議 Merlin ,才在 4/25 晚間十一點宣布開啟其代幣 $MAGE 的公募,不到 12 小時間內,該協議就傳出遭駭的消息。
最早社群用戶 @FancyGemsETH 在 4/26 早上 9:24 發出警告,Merlin 的流動性已耗盡,要用戶不要與其網站互動。隨後,Web3 知識圖譜協議 0xScope 創辦人 Bobie 也發推證實,Merlin 確定遭駭,並貼出兩個地址表示:「駭客已將約 182 萬美元的資金移轉至以太坊。」
根據區塊鏈安全審計公司 Beosin 旗下的 Beosin EagleEye 安全風險監控平台說法,監測顯示,4 月 26 日Merlin Dex 流動性池子(0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e)遭到攻擊。
攻擊者地址一 (0x2744d62a1e9ab975f4d77fe52e16206464ea79b7) 直接調用 transferFrom 函數從池子轉出了 811,000 的 USDC,之後通過 Anyswap 跨鏈到其以太坊主網地址上。
攻擊者地址二(0xcE4ee0E01bb729C1c5d6D2327BB0F036fA2cE7E2)從 token1 合約(WETH)提取了435.2 的 ETH,並通過 Anyswap 跨鏈轉出到以太坊主網地址(0x0b8a3ef6307049aa0ff215720ab1fc885007393d),共獲取約180萬美元。
Beosin KYT反洗錢分析平台表示,被盜資金仍存放在上述攻擊者的兩個以太坊主網地址上,將持續對被盜資金進行監控。
據 Merlin 官網顯示,其原生代幣 MAGE 公募已籌集 322.16 ETH(約 60 萬美元)。儘管公募開啟沒多久就遭駭,但官方截稿前,仍未做出任何相關說明。
才剛完成 Certik 審計就遇駭
值得一得的是,在開啟代幣公募之前,Merlin 還公告為了讓投資人放心,其協議已完成 Certik 的審計。對此,吳說主編 Colin Wu 就反諷:「就在剛剛 certik 完成審計,Merlin 開始公售,於是就被盜了。」
另外,從「命名方式」和「採取公募的代幣發售模式」來看,不難看出 Merlin 與 Arbirtrum 協議上的 Camelot(神劍)極為相似,甚至有社群預期該項目未來有望成為潛力項目,不料仍難逃遭駭的命運。
延伸閱讀:Arbitrum募資黑箱》Camelot 爆「惡意超募」!新項目秒破發散戶被割韭菜
📍相關報導📍
L2深度分析》zkSync Era 是什麼?與Lite性能差異?埋伏空投互動教學
