Merlin, ein neuer DEX, der auf zkSync eingeführt wurde, erlitt während seines öffentlichen Verkaufs von MAGE-Tokens einen Rug Pull im Wert von fast 2 Millionen US-Dollar. Das verantwortliche technische Team hatte trotz eines sehr aktuellen Audits der Blockchain-Sicherheitsfirma CertiK einen bösartigen Code implementiert. Gegen die Verantwortlichen, die sich in Serbien befinden sollen, wurden rechtliche Schritte eingeleitet.
Das Merlin-Projekt bekommt einen Rug Pull
Ein zumindest merkwürdiger Rug Pull ereignete sich gestern, am Mittwoch, den 26. April, auf der dezentralen Börse (DEX) Merlin, die vor kurzem im zkSync-Netzwerk gestartet war. Die DEX, die gerade erst von der Blockchain-Sicherheitsfirma CertiK geprüft worden war, wurde mitten im öffentlichen Verkauf ihres MAGE-Tokens um knapp 2 Millionen US-Dollar aus ihren Liquiditätspools geleert.
Zunächst wurde natürlich auf die Wirtschaftsprüfung verwiesen, da ein Hack als wahrscheinlichste Hypothese erschien. CertiK erklärte seinerseits, dass seine ersten Ergebnisse eher auf ein „mögliches Problem bei der Verwaltung privater Schlüssel“ als auf einen Hack oder die Ausnutzung einer Schwachstelle hindeuteten.
Schließlich schien es, dass es das für das Projekt verantwortliche technische Team war, das bösartigen Code in die DEX.
-Struktur implementiert hatte.
Merlin’s Post-Mortem.
it is with deepest regret we have to notify you of a major fault in the structural integrity and controls of the Merlin Platform.
In den frühen Morgenstunden dieses Tages zogen die mehreren Mitglieder des Back-End-Teams alle unsere Verträge ab.
– Merlin (@TheMerlinDEX) April 26, 2023
“ Mit größtem Bedauern müssen wir Ihnen mitteilen, dass die strukturelle Integrität und die Kontrollen der Merlin-Plattform einen erheblichen Mangel aufweisen. In den frühen Morgenstunden des heutigen Tages haben mehrere Mitglieder des Back-End-Teams alle unsere Verträge geleert. „
Das Projektteam fügt später hinzu:
“ Wir haben alle Verträge, die für die Nutzung auf unserer Plattform vorgesehen waren, bei Certik eingereicht, die ein vollständiges Audit durchführten. Es wurde jedoch klar übersehen, dass der _owner [betroffene Codezeile, Anm. d. Red.] die primäre Macht über die Pools hatte. Außerdem hat das Backend-Team, das auch Zugang zu unserem Hoster hat, unseren Code ohne sein Wissen manipuliert, um sein Ziel zu erreichen. „
Verfahren gegen die Täter eingeleitet
In seiner Stellungnahme fügt das Merlin-Team hinzu, dass das für den Rug-Pull verantwortliche technische Team in Serbien lokalisiert sein soll und die lokalen Behörden entsprechend kontaktiert wurden. Darüber hinaus werden die Gelder in Zusammenarbeit mit On-Chain-Analysten weiterhin zurückverfolgt.
CertiK hat inzwischen eine Erklärung veröffentlicht, in der die Community darüber informiert wird, dass die gestohlenen Gelder an ihre Besitzer zurückerstattet werden und dass „weitere Informationen“ dazu folgen werden. CertiK erklärt, dass sie „auch nach der Aufdeckung der Probleme mit dem privaten Schlüssel“ in ihrer Prüfung an der Rückerstattung der geschädigten Nutzer beteiligt sein möchte.
1/ CertiK erforscht einen Kompensationsplan der Gemeinschaft, um die ~$2 Mio. an Benutzergeldern abzudecken, die beim Merlin DEX-Rug-Pull verloren gingen. Erste Untersuchungen deuten darauf hin, dass die betrügerischen Entwickler in Europa ansässig sind, und wir arbeiten mit der Strafverfolgung zusammen, um sie aufzuspüren.
⬇️⬇️⬇️
– CertiK (@CertiK) April 26, 2023
So wurde den schuldigen Individuen ein Deal angeboten: die Rückgabe von 80 % der Gelder im Austausch gegen die restlichen 20 % und die Einstellung der Strafverfolgung. Der DEX Merlin, der gerade erst gestartet war, hat nun keine Liquidität mehr, während der Verkauf seines Tokens noch läuft
*** Übersetzt mit www.DeepL.com/Translator (kostenlose Version) ***