CertiK și zk-Sync DEX Merlin explorează un plan de rambursare de 2 milioane USD pentru victimele Rugpull

Firma de securitate Blockchain CertiK și zk-Sync decentralized exchange (DEX) Merlin lucrează la un plan de rambursare a utilizatorilor afectați de un exploit recent care a scurs aproape 2 milioane de dolari de la acesta din urmă.

Merlin a dezvăluit joi că incidentul, despre care se credea că este o exploatare, a fost, de fapt, o tragere a mai multor membri necinstiți ai echipei sale de dezvoltatori back-end, care au manipulat codul protocolului pentru a-și atinge scopul.

CertiK și Merlin vor compensa victimele

Amintiți-vă că fondul de lichidități al lui Merlin a fost epuizat miercuri, la câteva ore după ce CertiK a auditat codul protocolului. DEX desfășura vânzarea publică a simbolului său nativ, MAGE, când un atacator a executat hack-ul.

As Criptocartofi raportate, CertiK a spus că o analiză a evenimentului a sugerat că o problemă de gestionare a cheii private ar fi putut duce la incident. Firma de securitate a dezvăluit că a subliniat un risc de centralizare în auditul efectuat luni și a recomandat ca Merlin să treacă la mecanisme descentralizate pentru a evita punctele unice de eșec cheie.

După o analiză ulterioară, Merlin și CertiK au descoperit că hack-ul a fost o muncă din interior din partea echipei protocolului. Echipa de back-end a implementat o funcție de apelare care le-a dat putere asupra contractelor și a tuturor perechilor de tranzacționare din pool-urile de lichiditate.

Dezvoltatorii au putut, de asemenea, să manipuleze contractele front-end și gazda web ale lui Merlin, permițându-le să execute mai multe tranzacții în lanț care au epuizat vânzarea publică.

Prioritatea noastră neclintită este să returnăm toate fondurile părților afectate și participanților pe platforma Merlin cât mai curând posibil. În acest scop, lucrăm alături @Certik (Echipa DOXX de la Prospero și Alatar Recovery Plan) pentru a rambursa toți utilizatorii afectați.

— Merlin (@TheMerlinDEX) Aprilie 26, 2023

O recompensă de pălărie albă de 20%.

În timp ce Merlin și CertiK elaborează un plan de compensare, au informat și autoritățile relevante despre incident și unde se află echipa tehnică necinstită. Echipa de back-end a fost depistată în Serbia, Europa, iar autoritățile locale au fost notificate.

Protocolul a recrutat, de asemenea, analiști în lanț pentru a monitoriza mișcarea fondurilor. Bunurile furate au fost pe senile la două portofele și erau încă acolo la momentul scrierii.

Între timp, CertiK are oferit dezvoltatorii o recompensă de pălărie albă de 20%, îndemnându-i să o accepte pentru a evita mânia legii.