Merlin, een nieuwe DEX gelanceerd op zkSync, leed onder een rug pull van bijna $2 miljoen tijdens haar openbare verkoop van MAGE tokens. Het verantwoordelijke technische team had kwaadaardige code geïmplementeerd ondanks een zeer recente audit door blockchain beveiligingsbedrijf CertiK. Er zijn juridische stappen ondernomen tegen de verantwoordelijken, die vermoedelijk in Servië zijn gevestigd.
Het Merlin project krijgt een veeg uit de pan
Gisteren, woensdag 26 april, vond een vreemde “rug pull” plaats op de Merlin gedecentraliseerde beurs (DEX), die onlangs op het zkSync netwerk werd gelanceerd. De DEX, die net een audit had ondergaan door blockchain beveiligingsbedrijf CertiK, zag zijn liquiditeitspools geleegd worden voor een bedrag van bijna $2 miljoen midden in een openbare verkoop van zijn MAGE token.
In eerste instantie werd de vinger natuurlijk naar de audit gewezen, aangezien een hack de meest waarschijnlijke hypothese leek. CertiK gaf aanvankelijk aan dat zijn eerste conclusies eerder wezen op “een potentieel probleem met het beheer van particuliere sleutels” dan op een hack of de exploitatie van een fout.
Uiteindelijk lijkt het erop dat het technische team dat verantwoordelijk is voor het project kwaadaardige code in de DEX-structuur heeft geïmplanteerd.
Merlin’s Post-Mortem
het is met grote spijt dat we u moeten informeren over een grote fout in de structurele integriteit en controles van het Merlin Platform.
In de vroege uren van vanochtend hebben de verschillende leden van het Back-End Team al onze contracten leeggehaald.
– Merlin (@TheMerlinDEX) April 26, 2023
“Met de grootste spijt moeten wij u informeren over een grote storing in de structurele integriteit en besturing van het Merlin platform. In de vroege uren van deze morgen hebben verschillende leden van het Back-End team al onze contracten leeggehaald.”
Het projectteam voegt er verder aan toe:
“We hebben alle contracten bestemd voor gebruik op ons platform voorgelegd aan Certik die een volledige audit heeft uitgevoerd. Er was echter een duidelijk overzicht van de overheersende macht die de _eigenaar [betreffende regel code, noot van de redactie] had over de pools. Bovendien manipuleerde het back-end team, dat ook toegang heeft tot onze hosting provider, onze code zonder hun medeweten om hun doel te bereiken.”
Vervolging van de daders
In zijn verklaring voegt het Merlin-team eraan toe dat het technische team dat verantwoordelijk is voor de “rug pull” vermoedelijk in Servië is gevestigd en dat er dienovereenkomstig contact is opgenomen met de lokale autoriteiten. Bovendien worden de fondsen verder getraceerd in samenwerking met on-chain analisten.
CertiK heeft inmiddels een verklaring uitgegeven waarin het zijn gemeenschap informeert dat de gestolen fondsen aan hun houders zullen worden terugbetaald, en dat “verdere informatie” hierover zal worden verstrekt. CertiK verklaart dat het “zelfs na het ter sprake brengen van de private key-kwesties” in zijn controle, wil meewerken aan de terugbetaling van beschadigde gebruikers.
1/ CertiK onderzoekt een gemeenschapscompensatieplan om de ~$2M aan gebruikersgelden te dekken die verloren zijn gegaan in de Merlin DEX-truc. De eerste onderzoeken wijzen uit dat de malafide ontwikkelaars zich in Europa bevinden en we werken samen met de politie om ze op te sporen.
⬇️⬇️⬇️
– CertiK (@CertiK) April 26, 2023
Aan de schuldigen werd een deal aangeboden: de teruggave van 80% van de fondsen in ruil voor de resterende 20% en het laten vallen van alle aanklachten. DEX Merlin, die net was gelanceerd, heeft nu geen liquiditeit meer, terwijl de verkoop van zijn token nog gaande is