Merlin, нов DEX, стартиран в zkSync, претърпя теглене на близо 2 млн. долара по време на публичната си продажба на токени MAGE. Отговорният технически екип беше внедрил злонамерен код въпреки съвсем скорошен одит от фирмата за блокчейн сигурност CertiK. Предприети са правни действия срещу отговорните лица, за които се смята, че са базирани в Сърбия.
Проектът Merlin получава издърпване на килимчето
Вчера, сряда, 26 април, се случи странно издърпване на килимчето на децентрализираната борса (DEX) Merlin, която наскоро стартира в мрежата zkSync. DEX, която току-що беше преминала одит от фирмата за блокчейн сигурност CertiK, видя, че нейните ликвидни басейни са изпразнени до малко под 2 млн. долара по средата на публична продажба на нейния токен MAGE.
Първоначално естествено се посочи одита, тъй като хакерската атака изглеждаше най-вероятната хипотеза. От своя страна CertiK първоначално посочи, че първоначалните ѝ заключения сочат по-скоро към „потенциален проблем с управлението на частни ключове“, а не към хакване или използване на недостатък.
В крайна сметка изглежда, че именно техническият екип, отговарящ за проекта, е имплантирал зловреден код в структурата DEX.
Постмортале на Мерлин
с най-дълбоко съжаление трябва да ви уведомим за сериозна повреда в структурната цялост и контрола на платформата Merlin.
В ранните часове на тази сутрин няколко членове на Back-End екипа източиха всички наши договори.
– Merlin (@TheMerlinDEX) April 26, 2023
„С най-голямо съжаление трябва да ви информираме за сериозна повреда в структурната цялост и управлението на платформата Merlin. В ранните часове на тази сутрин няколко членове на екипа на Back-End изпразниха всички наши договори.“
Екипът на проекта добавя още:
„Представихме всички договори, предназначени за използване в нашата платформа, на Certik, които извършиха пълен одит. Имаше обаче ясен пропуск по отношение на надделяващата власт, която _собственикът [съответния ред код, бел. ред.] имаше над пуловете. Освен това екипът на бек енда, който също има достъп до нашия хост, е манипулирал нашия код без тяхно знание, за да постигне целта си.“
Подвеждане под отговорност на извършителите
В своето изявление екипът на Merlin добавя, че се смята, че техническият екип, отговорен за издърпването на килима, се намира в Сърбия и че съответно са се свързали с местните власти. Освен това средствата продължават да бъдат проследявани в сътрудничество с анализаторите на веригата.
Оттогава CertiK издаде изявление, с което информира своята общност, че откраднатите средства ще бъдат възстановени на техните притежатели и че ще бъде предоставена „допълнителна информация“ по този въпрос. CertiK заявява, че „дори след като повдигна въпросите за частните ключове“ в своя одит, желае да участва във възстановяването на средствата на ощетените потребители.
1/ CertiK проучва план за компенсиране на общността, за да покрие загубените ~2 млн. долара потребителски средства при изтеглянето на килимчето на Merlin DEX. Първоначалните разследвания показват, че нелоялните разработчици са базирани в Европа и ние работим с правоприлагащите органи, за да ги открием.
⬇️⬇️⬇️
– CertiK (@CertiK) April 26, 2023
На виновните лица е предложена сделка: връщане на 80 % от средствата в замяна на останалите 20 % и снемане на всички обвинения. DEX Merlin, която току-що беше стартирала, сега няма ликвидност, а продажбата на нейния токен все още продължава