zkSyncで開始された新しいDEXである
Merlinは、MAGEトークンの公売中に約200万ドルのラグプルを被りました。ブロックチェーンセキュリティ企業CertiKによるごく最近の監査にもかかわらず、担当の技術チームが悪意のあるコードを実装していたのです。セルビアに拠点を置くと思われる責任者たちに対して法的措置が取られました
。
マーリンプロジェクトに絨毯が敷かれる
昨日4月26日(水)、zkSyncネットワーク上で最近開始されたMerlin分散型取引所(DEX)で、奇妙なラグプルが発生しました。ブロックチェーンセキュリティ企業CertiKの監査を受けたばかりのDEXは、MAGEトークンの一般販売中に200万ドル弱の流動性プールが空になってしまったのです。
当初は、ハッキングの可能性が最も高いと思われたため、当然ながら監査に矛先が向けられた。一方、CertiKは当初、ハッキングや欠陥の悪用ではなく、「秘密鍵管理の問題の可能性」を指摘する見解を示していました。
結局、DEXの構造に悪意のあるコードを埋め込んだのは、このプロジェクトを担当した技術チームだったようです
。
マーリンの死後処理
マーリンプラットフォームの構造的完全性と制御に重大な欠陥があることをお知らせしなければならないのは、大変遺憾なことです。
今朝未明、バックエンド・チームの数名が我々の契約をすべて流出させました
– Merlin (@TheMerlinDEX) April 26, 2023
(ユーブイエックスダブリュージェイ)
“マーリンプラットフォームの構造的完全性と制御における重大な不具合をお知らせしなければならないことは、最大の遺憾であります。今朝未明、バックエンド・チームの数名が我々の契約を全て破棄しました。”
プロジェクトチームは、さらに次のように付け加えました:
Certikは完全な監査を行い、当社のプラットフォームで使用することを意図したすべての契約を提出しました。しかし、_owner(該当するコードの行、編集部注)がプールに対して持っていた無効な権限について、明確な見落としがありました。さらに、ホスティングプロバイダーにもアクセスできるバックエンドチームが、彼らの知らないところで我々のコードを操作し、目的を達成したのです」
。
加害者の訴追
」。
マーリンチームは声明の中で、ラグプルに関与した技術チームはセルビアにいると思われ、現地当局に適宜連絡を取っていることを付け加えています。また、オンチェーンアナリストとの協力のもと、資金の追跡を継続しています。
CertiKはその後、盗まれた資金は保有者に払い戻されること、そしてこの件に関して「さらなる情報」が提供されることを伝える声明を発表しています。CertiKは、監査で「秘密鍵の問題を提起した後でも」、被害を受けたユーザーの払い戻しに参加したいとしています
。
1/CertiKは、Merlin DEXのラグプルで失われたユーザー資金~200万ドルをカバーするためのコミュニティ補償プランを模索しています。最初の調査によると、不正な開発者はヨーロッパに拠点を置いており、我々は法執行機関と協力して彼らを追跡しているところです。
⬇️⬇️⬇️
– CertiK (@CertiK) April 26, 2023
(ユーブイエックスダブリュージェイ)
有罪の人物には、残りの20%と引き換えに80%の資金を返還し、すべての罪を取り下げるという取引が提示された。ローンチしたばかりのDEX Merlinは現在、流動性がなく、トークンの売却はまだ続いている
。