zkSync生态DEX Merlin退款网址疑为钓鱼站点，用户需谨慎交互

金色财经报道，针对此前 Ledger 出现 Ledger Connect Kit 恶意版本的问题，流动性质押服务平台 Lido 官方在 X 平台宣布，作为预防措施，当前其前端服务已暂时关闭，同时仍在继续调查 Ledger 连接问题，Lido 呼吁用户谨慎与任何 DeFi 前端进行交互。

4月26日消息，zkSync生态DEX Merlin发布公告称正在分析协议漏洞，并提醒用户撤销钱包在其官方网站上的连接站点访问权限和签名权限。

金色财经报道，根据区块链安全审计公司Beosin旗下的Beosin EagleEye安全风险监控、预警与阻断平台监测显示，2023年4月26日zksync链上的Merlin Dex 流动性池子（0x82cf66e9a45Df1CD3837cF623F7E73C1Ae6DFf1e）遭到攻击。攻击者地址一(0x2744d62a1e9ab975f4d77fe52e16206464ea79b7)直接调用transferFrom函数从池子转出了811K的USDC，之后通过Anyswap跨链到其以太坊主网地址上，攻击者地址二（0xcE4ee0E01bb729C1c5d6D2327BB0F036fA2cE7E2）从token1合约（WETH）提取了435.2的eth通过过Anyswap跨链转出到以太坊主网地址（0x0b8a3ef6307049aa0ff215720ab1fc885007393d）上，共获利约180万美元，Beosin KYT反洗钱分析平台发现被盗资金仍存放在上述攻击者的两个以太坊主网地址上，Beosin将持续对被盗资金进行监控。

4月26日消息，zkSync生态DEX Merlin流动性耗尽，黑客盗取182万美元资金并桥接至以太坊。

5月14日消息，基于Fantom的去中心化交易协议Equalizer疑似被黑客攻击，请勿与equalizer.exchange交互。此外，社区成员Biro公布诈骗合约地址为0x9669295开头地址，称被盗走所有代币。

金色财经报道，据官方消息，Certik表示在Merlin DEX的恶意开发者实施了Rug Pull后，正与受影响的各方紧密合作，将与ZKSync探讨社区的补偿计划，弥补Merlin DEX事件造成的180万美元用户资金损失。据悉，CertiK将在未来几天内宣布一个180万美金的社区补偿计划以弥补损失，更多的计划细节将会于随后发布。 CertiK在对Merlin DEX的审计过程中发现了中心化风险，并对授予“masterAddress”和“owner”地址的权限进行了详细的可视化分解。该审计工作于4月23日完成，共有六项发现。Merlin团队修复了其中两个问题，并确认了其余四个问题。CertiK的审计报告全部公开透明，并免费提供给所有Web3社区成员查看。 初步调查表明，攻击者很可能位于欧洲。目前，Certik正在与执法部门合作，追踪他们的下落。CertiK也正在与Merlin团队的其他成员紧密合作并努力解决问题。目前，CertiK已敦促该恶意开发者接受20%的白帽赏金。若攻击者不接受，Certik将立即采取一切可能的行动来保护ZK社区。