Компания по обеспечению безопасности блокчейна CertiK запускает компенсационный план с платформой масштабирования Ethereum уровня 2 zkSync Era, чтобы покрыть 2 миллиона долларов, потерянных во время публичной продажи токенов MAGE децентрализованной биржи Merlin.
В заявлении для Cointelegraph от 26 апреля CertiK подтвердила, что расследует мошенничество с выходом, а также привлекла оставшуюся команду Merlin для инициирования плана компенсации. Он сказал:
«Первоначальные расследования показывают, что мошеннические разработчики базируются в Европе, и CertiK будет сотрудничать с правоохранительными органами, чтобы выследить их, если прямые переговоры не увенчаются успехом».
Компания, занимающаяся безопасностью блокчейна, призывает разработчика-мошенника вернуть 80% украденных средств, уступив 20% в качестве вознаграждения в виде белой шляпы.
Фирма также указала, что привилегии закрытого ключа «предназначены для помощи затронутым пользователям», несмотря на то, что они выходят за рамки аудита смарт-контрактов.
Merlin потерял около 850 000 долларов США в монетах (USDC) и еще несколько относительно неликвидных токенов 26 апреля во время трехдневной публичной продажи токенов MAGE без жесткого ограничения. Данные блокчейна показывают, что эксплуататор, контролирующий пул ликвидности, смог легко вывести средства.
We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.
These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
CertiK, которая провела аудит кода Merlin, ответила своими первоначальными выводами, указывающими на «потенциальную проблему с управлением закрытыми ключами».
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
— CertiK (@CertiK) April 26, 2023
Криптовалюта Твиттер поставил под сомнение аудит CertiK, подразумевая, что может быть ковер.
Основатель Verichains Тхань Нгуен сослался на «черный ход», присутствующий в коде Merlin, заявив, что это «явная угроза безопасности, поскольку нет варианта использования, требующего его одобрения».
3/4 However, in the Merlin code, there is a “backdoor” code (L87-88) that allows the feeTo of MerlinFactory to transfer all assets in the pair, in addition to the fee in the swap function. This backdoor is a clear security risk as there is no use case that requires its approval. pic.twitter.com/HAnwZT27ZS
— Thanh Nguyen (@redragonvn) April 26, 2023
«Хотя аудиты могут выявить потенциальные риски и уязвимости, они не могут предотвратить злонамеренные действия со стороны мошеннических разработчиков, такие как перетягивание коврика», — говорится в заявлении CertiK для Cointelegraph. «Мы призываем пользователей искать проекты со значком KYC в качестве дополнительного уровня безопасности, означающего, что проект добровольно прошел процесс проверки KYC».
Связанный с этим: Ordinals Finance провела ковер на 1 миллион долларов: CertiK
Фирма объяснила, что это может помочь снизить и смягчить риск внутренних угроз, таких как перетягивание ковра.
CertiK заявила, что продолжит предоставлять обновленную информацию о своем плане компенсации и текущем расследовании.
