CertiK und zk-Sync DEX Merlin prüfen Erstattungsplan in Höhe von 2 Mio. USD für Rugpull-Opfer

Die Blockchain-Sicherheitsfirma CertiK und zk-Sync Decentralized Exchange (DEX) Merlin arbeiten an einem Plan, um Benutzer zu entschädigen, die von einem kürzlichen Exploit betroffen sind, der fast 2 Millionen US-Dollar von letzterem abgezogen hat.

Merlin gab am Donnerstag bekannt, dass der Vorfall, von dem allgemein angenommen wurde, dass es sich um einen Exploit handelt, in Wirklichkeit ein Teppichzug mehrerer abtrünniger Mitglieder seines Back-End-Entwicklerteams war, die den Code des Protokolls manipulierten, um ihr Ziel zu erreichen.

CertiK und Merlin zur Entschädigung der Opfer

Denken Sie daran, dass der Liquiditätspool von Merlin am Mittwoch geleert wurde, Stunden nachdem CertiK den Code des Protokolls geprüft hatte. Die DEX führte den öffentlichen Verkauf ihres nativen Tokens MAGE durch, als ein Angreifer den Hack ausführte.

As CryptoPotato berichtet, sagte CertiK, eine Analyse des Ereignisses deutete darauf hin, dass ein Problem bei der Verwaltung privater Schlüssel zu dem Vorfall geführt haben könnte. Die Sicherheitsfirma gab bekannt, dass sie in dem am Montag durchgeführten Audit auf ein Zentralisierungsrisiko hingewiesen und Merlin empfohlen hatte, auf dezentrale Mechanismen umzusteigen, um Single Points of Key Failure zu vermeiden.

Nach weiterer Analyse stellten Merlin und CertiK fest, dass es sich bei dem Hack um einen Insider-Job des Teams des Protokolls handelte. Das Back-End-Team implementierte eine Call-Action-Funktion, die ihnen die Kontrolle über die Kontrakte und alle Handelspaare in den Liquiditätspools gab.

Die Entwickler waren auch in der Lage, die Front-End-Verträge und den Webhost von Merlin zu manipulieren, wodurch sie mehrere On-Chain-Transaktionen ausführen konnten, die den öffentlichen Verkauf erschöpften.

Unsere unerschütterliche Priorität ist es, alle Gelder so schnell wie möglich an die betroffenen Parteien und Teilnehmer auf der Merlin-Plattform zurückzuzahlen. Dafür arbeiten wir gemeinsam @ Certik (Team DOXX von Prospero & Alatar Recovery Plan), um alle betroffenen Benutzer zu entschädigen.

– Merlin (@TheMerlinDEX) 26. April 2023

Eine 20 % White-Hat-Prämie

Während Merlin und CertiK einen Entschädigungsplan ausarbeiten, haben sie auch die zuständigen Behörden über den Vorfall und den Aufenthaltsort des abtrünnigen technischen Teams informiert. Das Back-End-Team wurde nach Serbien, Europa, zurückverfolgt und die lokalen Behörden wurden benachrichtigt.

Das Protokoll hat auch On-Chain-Analysten rekrutiert, um die Bewegung der Gelder zu überwachen. Die gestohlenen Vermögenswerte wurden verfolgt zu zwei Brieftaschen und waren zum Zeitpunkt des Schreibens noch da.

Inzwischen hat CertiK angeboten den Entwicklern eine 20-prozentige White-Hat-Prämie und forderte sie auf, diese anzunehmen, um dem Zorn des Gesetzes zu entgehen.