CertiK και zk-Sync DEX Merlin Εξερευνήστε σχέδιο αποζημίωσης 2 εκατομμυρίων $ για θύματα Rugpull

Η εταιρεία ασφάλειας Blockchain CertiK και η αποκεντρωμένη ανταλλαγή zk-Sync (DEX) Merlin εργάζονται προς την κατεύθυνση ενός σχεδίου για την αποζημίωση των χρηστών που επηρεάστηκαν από ένα πρόσφατο exploit που απέσυρε σχεδόν 2 εκατομμύρια δολάρια από το τελευταίο.

Ο Μέρλιν αποκάλυψε την Πέμπτη ότι το περιστατικό, το οποίο πιστεύεται ευρέως ότι ήταν ένα κατόρθωμα, ήταν στην πραγματικότητα ένα χαλί από πολλά αδίστακτα μέλη της ομάδας προγραμματιστών του back-end, που χειρίστηκαν τον κώδικα του πρωτοκόλλου για να πετύχουν τον στόχο τους.

CertiK και Merlin για την αποζημίωση των θυμάτων

Υπενθυμίζουμε ότι η δεξαμενή ρευστότητας της Merlin εξαντλήθηκε την Τετάρτη, ώρες αφότου η CertiK έλεγξε τον κωδικό του πρωτοκόλλου. Το DEX διεξήγαγε τη δημόσια πώληση του εγγενούς διακριτικού του, MAGE, όταν ένας εισβολέας εκτέλεσε το hack.

As Κρυπτοπατάτα αναφερθεί, η CertiK είπε ότι μια ανάλυση του συμβάντος έδειξε ότι ένα ζήτημα διαχείρισης ιδιωτικού κλειδιού μπορεί να οδήγησε στο συμβάν. Η εταιρεία ασφαλείας αποκάλυψε ότι είχε επισημάνει έναν κίνδυνο συγκέντρωσης στον έλεγχο που διενεργήθηκε τη Δευτέρα και συνέστησε στη Merlin να στραφεί σε αποκεντρωμένους μηχανισμούς για να αποφύγει μεμονωμένα σημεία βασικής αστοχίας.

Μετά από περαιτέρω ανάλυση, ο Merlin και ο CertiK ανακάλυψαν ότι το hack ήταν μια εργασία εκ των έσω από την ομάδα του πρωτοκόλλου. Η ομάδα του back-end εφάρμοσε μια λειτουργία call-action που τους έδωσε εξουσία πάνω στα συμβόλαια και σε όλα τα ζεύγη συναλλαγών στις ομάδες ρευστότητας.

Οι προγραμματιστές ήταν επίσης σε θέση να χειραγωγήσουν τα συμβόλαια front-end και τον οικοδεσπότη ιστού της Merlin, επιτρέποντάς τους να εκτελέσουν αρκετές συναλλαγές εντός της αλυσίδας που εξάντλησαν τη δημόσια πώληση.

Η ακλόνητη προτεραιότητά μας είναι να επιστραφούν όλα τα κεφάλαια σε συμβαλλόμενα μέρη και συμμετέχοντες στην πλατφόρμα Merlin το συντομότερο δυνατό. Για το σκοπό αυτό, εργαζόμαστε παράλληλα @Certik (Ομάδα DOXX από το Πρόγραμμα Ανάκτησης Prospero & Alatar) για την αποζημίωση όλων των επηρεαζόμενων χρηστών.

— Μέρλιν (@TheMerlinDEX) Απρίλιος 26, 2023

Ένα 20% Bounty Λευκού Καπέλου

Ενώ η Merlin και η CertiK επεξεργάζονται ένα σχέδιο αποζημίωσης, έχουν επίσης ενημερώσει τις αρμόδιες αρχές για το περιστατικό και το πού βρίσκεται η αδίστακτη τεχνική ομάδα. Η ομάδα του back-end εντοπίστηκε στη Σερβία, την Ευρώπη και οι τοπικές αρχές έχουν ειδοποιηθεί.

Το πρωτόκολλο έχει επίσης προσλάβει αναλυτές on-chain για να παρακολουθούν την κίνηση των κεφαλαίων. Τα κλεμμένα περιουσιακά στοιχεία έχουν παρακολουθούνται σε δύο πορτοφόλια και βρίσκονταν ακόμα εκεί τη στιγμή που γράφονταν τα γραφόμενα.

Εν τω μεταξύ, το CertiK έχει προσφέρονται οι προγραμματιστές δώρο 20% λευκού καπέλου, προτρέποντάς τους να το αποδεχτούν για να αποφύγουν την οργή του νόμου.