CertiK 및 zk-Sync DEX Merlin, Rugpull 피해자를 위한 2만 달러 환급 계획 모색

블록체인 보안 회사인 CertiK와 zk-Sync 탈중앙화 거래소(DEX) Merlin은 후자로부터 거의 2만 달러를 소모한 최근 악용으로 영향을 받은 사용자에게 보상할 계획을 위해 노력하고 있습니다.

Merlin은 목요일에 익스플로잇으로 널리 알려진 이 사건이 사실 목표를 달성하기 위해 프로토콜의 코드를 조작한 백엔드 개발자 팀의 불량 멤버 몇 명이 저지른 일이라고 밝혔습니다.

피해자 보상을 위한 CertiK 및 Merlin

Merlin의 유동성 풀은 CertiK가 프로토콜 코드를 감사한 지 몇 시간 후인 수요일에 고갈되었습니다. DEX는 공격자가 해킹을 실행했을 때 기본 토큰인 MAGE의 공개 판매를 수행하고 있었습니다.

As CryptoPotato 신고, CertiK는 이벤트 분석 결과 개인 키 관리 문제가 사고로 이어졌을 수 있다고 제안했습니다. 이 보안 회사는 월요일에 실시한 감사에서 중앙 집중화 위험을 지적했으며 Merlin이 단일 주요 실패 지점을 피하기 위해 분산 메커니즘으로 전환할 것을 권고했다고 밝혔습니다.

추가 분석을 통해 Merlin과 CertiK는 해킹이 프로토콜 팀의 내부자 작업임을 발견했습니다. 백엔드 팀은 계약 및 유동성 풀의 모든 거래 쌍에 대한 권한을 부여하는 콜 액션 기능을 구현했습니다.

개발자는 또한 Merlin의 프런트 엔드 계약 및 웹 호스트를 조작하여 공개 판매를 소진시키는 여러 온체인 트랜잭션을 실행할 수 있었습니다.

우리의 변함없는 우선 순위는 가능한 한 빨리 모든 자금을 Merlin 플랫폼의 영향을 받는 당사자와 참가자에게 반환하는 것입니다. 이를 위해 우리는 함께 노력하고 있습니다. @Certik (프로스페로 및 Alatar 복구 계획 모두 DOXX 팀) 영향을 받는 모든 사용자에게 상환합니다.

— 멀린(@TheMerlinDEX) 2023 년 4 월 26 일

20% 화이트 햇 바운티

Merlin과 CertiK는 보상 계획을 수립하는 동안 관련 당국에 사건과 불량 기술팀의 소재를 알렸습니다. 백엔드 팀은 세르비아, 유럽으로 추적되었으며 현지 당국에 통보되었습니다.

이 프로토콜은 또한 자금 이동을 모니터링하기 위해 온체인 분석가를 모집했습니다. 도난당한 자산은 추적 두 개의 지갑에 작성 당시에도 여전히 거기에 있었습니다.

한편, CertiK는 제공 개발자들은 법의 진노를 피하기 위해 그것을 받아들이도록 촉구하면서 20%의 흰 모자 현상금을 내걸었습니다.