CertiK och zk-Sync DEX Merlin utforskar $2M ersättningsplan för Rugpull Victims

Blockchain-säkerhetsföretaget CertiK och zk-Sync decentraliserade börsen (DEX) Merlin arbetar mot en plan för att ersätta användare som drabbats av en nyligen utnyttjad exploatering som dränerade nästan 2 miljoner dollar från den senare.

Merlin avslöjade på torsdagen att incidenten, som allmänt ansågs vara en exploatering, i själva verket var en matta från flera oseriösa medlemmar av dess back-end-utvecklarteam, som manipulerade protokollets kod för att uppnå sitt mål.

CertiK och Merlin för att kompensera offer

Minns att Merlins likviditetspool tömdes på onsdagen, timmar efter att CertiK granskade protokollets kod. DEX genomförde den offentliga försäljningen av sitt ursprungliga token, MAGE, när en angripare utförde hacket.

As Kryptopotatis rapporterade, sade CertiK att en analys av händelsen antydde att ett problem med privat nyckelhantering kan ha lett till incidenten. Säkerhetsföretaget avslöjade att det hade påpekat en centraliseringsrisk i den revision som genomfördes på måndagen och rekommenderade att Merlin byter till decentraliserade mekanismer för att undvika enstaka punkter med nyckelfel.

Vid ytterligare analys upptäckte Merlin och CertiK att hacket var ett insiderjobb från protokollets team. Back-end-teamet implementerade en call-action-funktion som gav dem makt över kontrakten och alla handelspar i likviditetspoolerna.

Utvecklarna kunde också manipulera Merlins front-end-kontrakt och webbhotell, så att de kunde utföra flera on-chain-transaktioner som dränerade den offentliga försäljningen.

Vår orubbliga prioritet är att returnera alla medel till berörda parter och deltagare på Merlin-plattformen så snart som möjligt. För det ändamålet jobbar vi bredvid @Certik (Team DOXX av både Prospero & Alatar Recovery Plan) för att ersätta alla berörda användare.

— Merlin (@TheMerlinDEX) 26 april 2023

En 20% White Hat Bounty

Samtidigt som Merlin och CertiK håller på att utarbeta en kompensationsplan har de också informerat relevanta myndigheter om incidenten och var det oseriösa tekniska teamet befinner sig. Back-end-teamet har spårats till Serbien, Europa och lokala myndigheter har underrättats.

Protokollet har också rekryterat on-chain analytiker för att övervaka rörelsen av fonderna. De stulna tillgångarna har varit spåras till två plånböcker och fanns kvar i skrivande stund.

Samtidigt har CertiK erbjuds utvecklarna en 20-procentig premie för vit hatt, och uppmanade dem att acceptera den för att undvika lagens vrede.