Фірма безпеки блокчейнів CertiK запускає план компенсації з платформою масштабування рівня 2 Ethereum zkSync Era, щоб покрити 2 мільйони доларів, втрачених під час публічного продажу токенів MAGE децентралізованої біржі Merlin.
У заяві для Cointelegraph від 26 квітня CertiK підтвердив, що розслідує аферу з виходом, а також залучив команду Merlin, яка залишилася, ініціювати план компенсації. Там було сказано:
«Початкові розслідування показують, що розробники-шахраї знаходяться в Європі, і CertiK співпрацюватиме з правоохоронними органами, щоб відстежити їх, якщо прямі переговори не увінчаються успіхом».
Компанія безпеки блокчейну закликає розробника-шахрая повернути 80% вкрадених коштів, визнавши 20% винагородою за білий капелюх.
Фірма також зазначила, що привілеї приватного ключа «спрямовані на допомогу постраждалим користувачам», незважаючи на те, що вони виходять за межі аудиту смарт-контракту.
26 квітня під час триденного публічного продажу токенів MAGE без жорсткого обмеження Merlin втратив USD Coin (USDC) на суму близько 850 000 доларів США та кілька відносно неліквідних токенів. Дані блокчейну свідчать про те, що експлуататор, який контролює пул ліквідності, зміг легко вивести кошти.
We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.
These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
CertiK, яка провела аудит коду Мерліна, відповіла своїми початковими висновками, вказуючи на «потенційну проблему управління приватними ключами».
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
— CertiK (@CertiK) April 26, 2023
криптовалюта Twitter поставив під сумнів аудит CertiK, натякаючи на те, що може бути тягнути килим.
Засновник Verichains Тхань Нгуєн натякнув на «бекдор», присутній у коді Мерліна, сказавши, що це «очевидний ризик для безпеки, оскільки немає варіантів використання, які вимагають його схвалення».
3/4 However, in the Merlin code, there is a “backdoor” code (L87-88) that allows the feeTo of MerlinFactory to transfer all assets in the pair, in addition to the fee in the swap function. This backdoor is a clear security risk as there is no use case that requires its approval. pic.twitter.com/HAnwZT27ZS
— Thanh Nguyen (@redragonvn) April 26, 2023
«Хоча перевірки можуть виявити потенційні ризики та вразливі місця, вони не можуть запобігти зловмисним діям з боку розробників-шахраїв, таким як перетягування килимів», — йдеться в заяві CertiK для Cointelegraph. «Ми заохочуємо користувачів шукати проекти зі значком KYC як додаткового рівня безпеки, який означає, що проект добровільно пройшов процес перевірки KYC».
Пов’язане: Ordinals Finance вилучила 1 мільйон доларів: CertiK
Фірма пояснила, що це може допомогти зменшити та пом’якшити ризик внутрішніх загроз, таких як тягання килима.
CertiK заявив, що продовжить надавати оновлення щодо свого плану компенсації та поточного розслідування.
