A
Merlin, uma nova DEX lançada na zkSync, sofreu um “rug pull” de quase 2 milhões de dólares durante a sua venda pública de tokens MAGE. A equipa técnica responsável implementou um código malicioso, apesar de uma auditoria muito recente efectuada pela empresa de segurança de cadeias de blocos CertiK. Foram tomadas medidas legais contra os responsáveis, que se acredita estarem sediados na Sérvia.
O projecto Merlin é puxado pelo tapete
Uma estranha puxada de tapete ocorreu ontem, quarta-feira 26 de Abril, na bolsa descentralizada Merlin (DEX), recentemente lançada na rede zkSync. A DEX, que tinha acabado de passar por uma auditoria da empresa de segurança de blockchain CertiK, viu seus pools de liquidez esvaziados em pouco menos de US $ 2 milhões no meio de uma venda pública de seu token MAGE.
No início, o dedo foi naturalmente apontado para a auditoria, pois um hack parecia a hipótese mais provável. Por seu lado, a CertiK indicou inicialmente que as suas conclusões iniciais apontavam mais para “um potencial problema de gestão de chaves privadas” do que para um hack ou a exploração de uma falha.
No final, parece que foi a equipa técnica responsável pelo projecto que implantou o código malicioso na estrutura do DEX.
Post-Mortem de Merlin
É com profundo pesar que temos de vos notificar de uma falha grave na integridade estrutural e nos controlos da Plataforma Merlin.
Nas primeiras horas da manhã de hoje, os vários membros da equipa de Back-End drenaram todos os nossos contratos.
– Merlin (@TheMerlinDEX) 26 de Abril de 2023
“É com o maior pesar que temos de vos informar de uma falha grave na integridade estrutural e nos controlos da plataforma Merlin. Nas primeiras horas da manhã de hoje, vários membros da equipa Back-End esvaziaram todos os nossos contratos.”
A equipa de projecto acrescenta, mais adiante:
Apresentámos todos os contratos destinados a serem utilizados na nossa plataforma à Certik, que efectuou uma auditoria completa. No entanto, verificou-se uma clara omissão do poder de controlo que o _owner [linha de código em causa, nota do editor] tinha sobre os pools. Além disso, a equipa de back-end, que também tem acesso ao nosso fornecedor de alojamento, manipulou o nosso código sem o seu conhecimento para atingir o seu objectivo. “
Processo contra os autores
No seu comunicado, a equipa Merlin acrescenta que a equipa técnica responsável pelo roubo está localizada na Sérvia e que as autoridades locais foram contactadas em conformidade. Além disso, os fundos continuam a ser rastreados em cooperação com os analistas da cadeia.
A CertiK emitiu entretanto um comunicado informando a sua comunidade de que os fundos roubados serão reembolsados aos seus detentores e que serão fornecidas “mais informações” sobre este assunto. A CertiK afirma que “mesmo depois de ter levantado as questões da chave privada” na sua auditoria, deseja participar no reembolso dos utilizadores lesados.
1/ A CertiK está a explorar um plano de compensação da comunidade para cobrir os ~$2M de fundos de utilizadores perdidos no caso do Merlin DEX. As investigações iniciais indicam que os programadores desonestos estão sediados na Europa, e estamos a trabalhar com as autoridades policiais para os localizar.
⬇️⬇️⬇️
– CertiK (@CertiK) 26 de Abril de 2023
Foi oferecido um acordo aos indivíduos culpados: a devolução de 80% dos fundos em troca dos restantes 20% e a retirada de todas as acusações. A DEX Merlin, que tinha acabado de ser lançada, não tem agora liquidez, enquanto a venda do seu token ainda está a decorrer
*** Translated with www.DeepL.com/Translator (free version) ***