Merlin, una nueva DEX lanzada en zkSync, sufrió un rug pull de casi 2 millones de dólares durante su venta pública de tokens MAGE. El equipo técnico responsable había implementado código malicioso a pesar de una auditoría muy reciente de la firma de seguridad de blockchain CertiK. Se han emprendido acciones legales contra los responsables, que se cree que tienen su base en Serbia.
El proyecto Merlin tira de la manta
Ayer, miércoles 26 de abril, se produjo un extraño tirón de alfombra en la bolsa descentralizada Merlin (DEX), lanzada recientemente en la red zkSync. La DEX, que acababa de someterse a una auditoría por parte de la empresa de seguridad de blockchain CertiK, vio cómo sus reservas de liquidez se vaciaban por valor de algo menos de 2 millones de dólares en medio de una venta pública de su token MAGE.
En un primer momento, se apuntó naturalmente a la auditoría, ya que un pirateo parecía la hipótesis más probable. Por su parte, CertiK indicó inicialmente que sus conclusiones iniciales apuntaban más a «un posible problema de gestión de claves privadas» que a un hackeo o a la explotación de un fallo.
Al final, parece que fue el equipo técnico encargado del proyecto el que implantó código malicioso en la estructura DEX.
Merlin’s Post-Mortem
lamentamos profundamente tener que notificarles un fallo importante en la integridad estructural y los controles de la Plataforma Merlin.
En las primeras horas de esta mañana varios miembros del Equipo de Back-End vaciaron todos nuestros Contratos.
– Merlin (@TheMerlinDEX) 26 de abril de 2023
«Con el mayor pesar tenemos que informarles de un fallo importante en la integridad estructural y los controles de la plataforma Merlin. En las primeras horas de esta mañana, varios miembros del equipo de Back-End vaciaron todos nuestros contratos. «
El equipo del proyecto añade, más adelante:
«Presentamos todos los contratos destinados a ser utilizados en nuestra plataforma a Certik, que llevó a cabo una auditoría completa. Sin embargo, hubo un claro descuido del poder preponderante que el _owner [línea de código en cuestión, nota del editor] tenía sobre los pools. Además, el equipo de back-end, que también tiene acceso a nuestro proveedor de alojamiento, manipuló nuestro código sin su conocimiento para lograr su objetivo. «
Persecución de los autores
En su comunicado, el equipo de Merlin añade que se cree que el equipo técnico responsable del tirón de la alfombra se encuentra en Serbia, y que se ha contactado con las autoridades locales en consecuencia. Además, se siguen rastreando los fondos en colaboración con analistas de la cadena.
CertiK ha emitido desde entonces un comunicado en el que informa a su comunidad de que los fondos robados serán reembolsados a sus titulares, y que se facilitará «más información» al respecto. CertiK afirma que «incluso después de plantear los problemas de clave privada» en su auditoría, desea participar en el reembolso a los usuarios perjudicados.
1/ CertiK está explorando un plan de compensación a la comunidad para cubrir los ~2M$ de fondos de usuarios perdidos en el tirón de la alfombra DEX de Merlin. Las primeras investigaciones indican que los desarrolladores deshonestos tienen su base en Europa, y estamos trabajando con las fuerzas de seguridad para localizarlos.
⬇️⬇️⬇️
– CertiK (@CertiK) 26 de abril de 2023
Se ofreció un trato a los culpables: la devolución del 80% de los fondos a cambio del 20% restante y la retirada de todos los cargos. DEX Merlin, que acababa de lanzarse, ahora no tiene liquidez, mientras que la venta de su token sigue en curso
