CertiK 和 zk-Sync DEX Merlin 探索针对 Rugpull 受害者的 2 万美元报销计划

区块链安全公司 CertiK 和 zk-Sync 去中心化交易所 (DEX) Merlin 正在制定一项计划，以补偿受最近漏洞利用影响的用户，该漏洞从后者身上流失了近 2 万美元。

Merlin 周四透露，这起被广泛认为是漏洞利用的事件实际上是其后端开发团队的几名流氓成员所为，他们操纵协议的代码来实现他们的目标。

CertiK 和 Merlin 赔偿受害者

回想一下，在 CertiK 审计协议代码几小时后，Merlin 的流动性池在周三被耗尽。 当攻击者执行黑客攻击时，DEX 正在公开销售其原生代币 MAGE。

As CryptoPotato 报道，CertiK 表示，对该事件的分析表明，私钥管理问题可能导致了该事件。 该安全公司透露，它在周一进行的审计中指出了中心化风险，并建议 Merlin 切换到去中心化机制，以避免单点密钥故障。

经过进一步分析，Merlin 和 CertiK 发现黑客攻击是来自协议团队的内部人员。 后端团队实施了一个呼叫功能，使他们能够控制流动性池中的合约和所有交易对。

开发人员还能够操纵 Merlin 的前端合约和网络主机，使他们能够执行数项耗尽公开发售的链上交易。

我们坚定不移的首要任务是尽早将所有资金返还给 Merlin 平台上受影响的各方和参与者。 为此，我们正在并肩努力 @证书 （Prospero 和 Alatar 恢复计划的团队 DOXX）补偿所有受影响的用户。

——梅林 (@TheMerlinDEX) 2023 年 4 月 26 日

20% 的白帽赏金

Merlin 和 CertiK 在制定赔偿计划的同时，也已经将事件和流氓技术团队的下落告知了相关部门。 后端团队已被追踪到塞尔维亚、欧洲，并已通知地方当局。

该协议还招募了链上分析师来监控资金的流动。 被盗资产已 追踪 到两个钱包，在撰写本文时仍然在那里。

同时，CertiK 有 最多线路 开发人员 20% 的白帽赏金，敦促他们接受它以避免法律的愤怒。