CertiK in zk-Sync DEX Merlin raziskujeta 2 milijona USD vreden načrt povračila za žrtve Rugpulla

Varnostno podjetje za blokovne verige CertiK in decentralizirana borza zk-Sync (DEX) Merlin delata na načrtu za povračilo stroškov uporabnikom, ki jih je prizadelo nedavno izkoriščanje, ki je iz slednje odneslo skoraj 2 milijona dolarjev.

Merlin je v četrtek razkril, da je bil incident, za katerega se je na splošno verjelo, da je šlo za izkoriščanje, v resnici vlečenje več prevarantskih članov njegove zaledne ekipe razvijalcev, ki so manipulirali s kodo protokola, da bi dosegli svoj cilj.

CertiK in Merlin za odškodnino žrtvam

Spomnimo se, da je bil Merlinov likvidnostni sklad izpraznjen v sredo, nekaj ur po tem, ko je CertiK revidiral kodo protokola. DEX je izvajal javno prodajo svojega izvornega žetona MAGE, ko je napadalec izvedel vdor.

As Kriptokrompir poročaliCertiK je dejal, da je analiza dogodka pokazala, da je do incidenta morda privedla težava z upravljanjem zasebnega ključa. Varnostno podjetje je razkrilo, da je v reviziji, opravljeni v ponedeljek, opozorilo na tveganje centralizacije in priporočilo, da Merlin preklopi na decentralizirane mehanizme, da se izogne ​​posameznim točkam okvare ključa.

Po nadaljnji analizi sta Merlin in CertiK ugotovila, da je bil vdor notranja naloga ekipe za protokol. Zaledna ekipa je implementirala funkcijo klica, ki jim je dala moč nad pogodbami in vsemi trgovalnimi pari v likvidnostnih skladih.

Razvijalci so prav tako lahko manipulirali z Merlinovimi sprednjimi pogodbami in spletnim gostiteljem, kar jim je omogočilo izvajanje več transakcij v verigi, ki so izčrpali javno prodajo.

Naša neomajna prednostna naloga je vrniti vsa sredstva prizadetim strankam in udeležencem na platformi Merlin ob prvi priložnosti. V ta namen delamo skupaj @Certik (Ekipa DOXX tako Prospero kot Alatar Recovery Plan) za povračilo vsem prizadetim uporabnikom.

— Merlin (@TheMerlinDEX) April 26, 2023

20-odstotna nagrada za beli klobuk

Medtem ko Merlin in CertiK pripravljata odškodninski načrt, sta tudi obvestila pristojne organe o incidentu in o tem, kje se nahaja prevarantska tehnična ekipa. Zaledno ekipo so izsledili v Srbiji, Evropi in obvestili lokalne oblasti.

Protokol je zaposlil tudi analitike v verigi za spremljanje gibanja sredstev. Ukradena sredstva so bila gosenicami v dve denarnici in sta bila v času pisanja še vedno tam.

Medtem ima CertiK ponujen razvijalcem 20-odstotno nagrado za beli klobuk in jih pozval, naj jo sprejmejo, da bi se izognili jezi zakona.