Zksync上の分散型取引所Merlin、約2.5億円の不正流出 ラグプル疑惑も

Merlinの不正流出

分散型取引所Merlinがハッキングされ、約2.5億円（182万ドル）以上の資金が盗まれたことが26日にわかった。Merlinは暗号資産（仮想通貨）イーサリアム（ETH）のL2プロジェクト「zkSync」上のプロトコルの一つだ。

スマートコントラクトに資金をロックアップする流動性プール（LP）がターゲットとなった。ハッカーはLPから盗んだ資金すべてを、イーサリアム・チェーンにブリッジ（橋渡し）したとされる。

#PeckShieldAlert Our community contributor has reported that Merlin #DEX on #zksync was exploited. One of the exploiters 0x2744…9b7 has grabbed ~850K $USDC and bridged them to #Ethereum https://t.co/hfgjJJY7Ml pic.twitter.com/07uSGMAt7e

— PeckShieldAlert (@PeckShieldAlert) April 26, 2023

Merlinは２6日0時（日本時間）に独自トークンMAGEの公開セールを開始したばかり。Merlinは「流動性生成イベント（LGE）」として、参加者からETHの流動性提供を得て、MAGEを割り当てる計画だった。この公開セールに参加する投資家には、プロジェクトの配当等を得る「エスクロートークン（stMAGE）」のボーナスエアドロップの特典が設けられていた。

また、プロジェクトチームは15日と25日のブログで、セキュリティを最優先し、全てのスマートコントラクトに対してセキュリティ企業Certikによる完全な監査を実施した上でセールに臨むことを強調していた。

OxScopeの創設者である0xBobieによると、盗まれた資金は2つのウォレット（a,b）にあることが確認された。ブロックチェーンセキュリティ企業PeckShieldは、片方のアカウント「0x2744…9b7」が約1億円相当（85万ドル）の USDCoin（USDC）をイーサリアム（ETH）チェーンにブリッジ（橋渡し）したことを確認している。

関連：イーサリアムL2「zkSync」、閉じ込められた約2.3億円のETHを回収へ

監査完了後のハッキング

from Merlin second in command, no response to last text even now, founder Prospero is MIA

there goes a lot of money for me and many other people 🫡

thank God I passed on seed, literally voice noted the founder telling him not to be an idiot and switch up the terms https://t.co/EgRZc0AIiU pic.twitter.com/PSDCa1TmSP

— 禅 (@xen) April 26, 2023

ツイッター上では、Merlinで起きた件が「ラグプル（出口詐欺）」であるとの見方が広がっている。あるユーザーはスマートコントラクトに基づいて、Merlinが攻撃者のアドレスに対して無制限承認（type(uint256).max）を与えてしまったために、プールから資金が不正に引き出される問題が生じたと主張している。

また、禅（Xen）氏はMerlinとZkSyncのTelegramグループの会話（彼がアドバイザリー役として関わった）の画像を投稿。Merlinプロジェクトのチームがこれらの仕組みについて把握しておらず、不正流出の事態が発生して困惑している様子が示されていることから、創設者による単独行動であると推測した。

Certikは24日にMerlinの監査結果を公開。「特定の状況下で、資金やプロジェクトの管理が失われる可能性がある」メジャーなリスクを指摘してはいるが、ステータスは“Resolved（解決済み）”となっている。「無制限承認」の悪用を検出していたのかは不明だが、監査後のハッキング被害の発生により、仮想通貨コミュニティの間で疑念が高まっている。26日に公開されたCertikのGu RonghuiCEOへのインタビューによると、同社は仮想通貨セキュリティ市場で70％シェアを獲得している。

関連：DeFiの1inch、イーサリアムL2「zkSync Era」にプロトコルをデプロイ