Merlin, un nuovo DEX lanciato su zkSync, ha subito un “rug pull” di quasi 2 milioni di dollari durante la sua vendita pubblica di token MAGE. Il team tecnico responsabile aveva implementato un codice maligno nonostante una recentissima verifica da parte della società di sicurezza blockchain CertiK. Sono state intraprese azioni legali contro i responsabili, che si ritiene abbiano sede in Serbia.
Il progetto Merlin viene tirato per i capelli
Ieri, mercoledì 26 aprile, si è verificato uno strano incidente di percorso nell’exchange decentralizzato (DEX) Merlin, lanciato di recente sulla rete zkSync. Il DEX, che era stato appena sottoposto a un audit da parte della società di sicurezza blockchain CertiK, ha visto i suoi pool di liquidità svuotarsi per poco meno di 2 milioni di dollari nel bel mezzo di una vendita pubblica del suo token MAGE.
In un primo momento, il dito è stato naturalmente puntato contro l’audit, in quanto un hack sembrava l’ipotesi più probabile. Da parte sua, CertiK ha inizialmente indicato che le sue conclusioni iniziali puntavano più verso “un potenziale problema di gestione della chiave privata” piuttosto che verso un hack o lo sfruttamento di una falla.
Alla fine, sembrerebbe che sia stato il team tecnico responsabile del progetto a impiantare il codice maligno nella struttura DEX.
L’autopsia di Merlin
è con profondo rammarico che dobbiamo informarvi di un grave difetto nell’integrità strutturale e nei controlli della Piattaforma Merlin.
Nelle prime ore di questa mattina i vari membri del Team Back-End hanno prosciugato tutti i nostri Contratti.
– Merlin (@TheMerlinDEX) 26aprile2023
“È con grande rammarico che dobbiamo informarvi di un grave guasto all’integrità strutturale e ai controlli della piattaforma Merlin. Nelle prime ore di questa mattina, alcuni membri del team Back-End hanno svuotato tutti i nostri contratti. “
Il team di progetto aggiunge, più avanti:
“Abbiamo sottoposto tutti i contratti destinati all’uso sulla nostra piattaforma a Certik, che ha effettuato un audit completo. Tuttavia, c’è stata una chiara svista del potere preponderante che il _owner [linea di codice interessata, n.d.t.] aveva sui pool. Inoltre, il team di back-end, che ha accesso anche al nostro provider di hosting, ha manipolato il nostro codice a sua insaputa per raggiungere il suo obiettivo. “
Processo ai responsabili
Nella sua dichiarazione, il team Merlin aggiunge che si ritiene che il team tecnico responsabile del furto si trovi in Serbia e che le autorità locali sono state contattate di conseguenza. Inoltre, i fondi continuano a essere rintracciati in collaborazione con gli analisti della catena.
CertiK ha poi rilasciato una dichiarazione in cui informa la sua comunità che i fondi rubati saranno rimborsati ai loro titolari e che saranno fornite “ulteriori informazioni” al riguardo. CertiK afferma che “anche dopo aver sollevato il problema delle chiavi private” nella sua verifica, desidera partecipare al rimborso degli utenti danneggiati.
1/ CertiK sta esplorando un piano di compensazione della comunità per coprire i circa 2 milioni di dollari di fondi degli utenti persi nella vicenda di Merlin DEX. Le prime indagini indicano che gli sviluppatori disonesti hanno sede in Europa e stiamo collaborando con le forze dell’ordine per rintracciarli.
⬇️⬇️⬇️
– CertiK (@CertiK) 26 aprile 2023
È stato offerto un accordo ai colpevoli: la restituzione dell’80% dei fondi in cambio del restante 20% e l’archiviazione di tutte le accuse. DEX Merlin, appena lanciata, è ora priva di liquidità, mentre la vendita del suo token è ancora in corso