Merlin, nový DEX spuštěný na zkSync, utrpěl během veřejného prodeje tokenů MAGE rug pull ve výši téměř 2 milionů dolarů. Odpovědný technický tým implementoval škodlivý kód navzdory velmi nedávnému auditu od blockchainové bezpečnostní firmy CertiK. Proti odpovědným osobám, které pravděpodobně sídlí v Srbsku, byly podniknuty právní kroky.
Projekt Merlin dostal na frak
Včera, ve středu 26. dubna, došlo na decentralizované burze (DEX) Merlin, která byla nedávno spuštěna v síti zkSync, k podivnému vytažení koberce. Na DEX, která právě prošla auditem blockchainové bezpečnostní firmy CertiK, se uprostřed veřejného prodeje tokenu MAGE vyprázdnily její pooly likvidity v hodnotě necelých 2 milionů dolarů.
Zpočátku se přirozeně ukazovalo prstem na audit, protože jako nejpravděpodobnější hypotéza se jevil hackerský útok. Společnost CertiK ze své strany nejprve uvedla, že její prvotní závěry ukazují spíše na „potenciální problém se správou soukromých klíčů“ než na hack nebo zneužití chyby.
Nakonec se zdá, že to byl technický tým, který měl projekt na starosti a který do struktury DEX implantoval škodlivý kód.
Merlinův post mortem
s hlubokou lítostí vám musíme oznámit závažnou závadu ve strukturální integritě a ovládacích prvcích platformy Merlin.
V časných ranních hodinách dnešního dne několik členů Back-End týmu vyčerpalo všechny naše smlouvy.
– Merlin (@TheMerlinDEX) 26. dubna 2023
„S největší lítostí vás musíme informovat o závažné poruše strukturální integrity a ovládacích prvků platformy Merlin. Dnes v časných ranních hodinách několik členů týmu Back-End vyprázdnilo všechny naše smlouvy.“
Projektový tým dále dodává:
„Všechny smlouvy určené k použití na naší platformě jsme předložili společnosti Certik, která provedla úplný audit. Došlo však k jasnému přehlédnutí nadřazené moci, kterou měl _vlastník [dotčený řádek kódu, pozn. editora] nad bazény. Kromě toho tým back-endu, který má rovněž přístup k našemu poskytovateli hostingu, manipuloval s naším kódem bez jeho vědomí, aby dosáhl svého cíle.“
Stíhání pachatelů
Ve svém prohlášení tým Merlin dodává, že technický tým zodpovědný za vytažení koberce se pravděpodobně nachází v Srbsku a že místní úřady byly odpovídajícím způsobem kontaktovány. Kromě toho pokračuje dohledávání finančních prostředků ve spolupráci s analytiky v řetězci.
Společnost CertiK mezitím vydala prohlášení, v němž svou komunitu informuje, že odcizené prostředky budou jejich držitelům vráceny a že k tomuto tématu budou poskytnuty „další informace“. Společnost CertiK uvádí, že „i po vznesení otázky soukromých klíčů“ v rámci svého auditu se chce podílet na vrácení peněz poškozeným uživatelům.
1/ Společnost CertiK zkoumá plán komunitních kompenzací, který by pokryl ~2 miliony dolarů uživatelských prostředků ztracených v důsledku vytažení koberce Merlin DEX. Z počátečního vyšetřování vyplývá, že nepoctiví vývojáři sídlí v Evropě, a my spolupracujeme s orgány činnými v trestním řízení na jejich vypátrání.
⬇️⬇️⬇️
– CertiK (@CertiK) 26. dubna 2023
Viníkům byla nabídnuta dohoda: vrácení 80 % finančních prostředků výměnou za zbývajících 20 % a stažení všech obvinění. DEX Merlin, který byl právě spuštěn, nyní nemá žádnou likviditu, zatímco prodej jeho tokenu stále probíhá