Merlin, nowy DEX uruchomiony na zkSync, ucierpiał z powodu kradzieży prawie 2 milionów dolarów podczas publicznej sprzedaży tokenów MAGE. Odpowiedzialny za to zespół techniczny wdrożył złośliwy kod pomimo niedawnego audytu przeprowadzonego przez firmę CertiK zajmującą się bezpieczeństwem blockchain. Podjęto kroki prawne przeciwko osobom odpowiedzialnym, które prawdopodobnie mają siedzibę w Serbii.
The Merlin project gets a rug pull
Wczoraj, w środę 26 kwietnia, na zdecentralizowanej giełdzie Merlin (DEX), niedawno uruchomionej w sieci zkSync, doszło do dziwnego zdarzenia. DEX, który właśnie przeszedł audyt przeprowadzony przez firmę CertiK zajmującą się bezpieczeństwem blockchain, zobaczył, że jego pule płynności zostały opróżnione do wysokości prawie 2 milionów dolarów w trakcie publicznej sprzedaży tokena MAGE.
Początkowo palec został naturalnie wskazany na audyt, ponieważ włamanie wydawało się najbardziej prawdopodobną hipotezą. Ze swojej strony CertiK początkowo wskazał, że jego wstępne wnioski wskazywały bardziej na „potencjalny problem z zarządzaniem kluczem prywatnym” niż na włamanie lub wykorzystanie błędu.
Ostatecznie wydaje się, że to zespół techniczny odpowiedzialny za projekt wszczepił złośliwy kod w strukturę DEX.
Merlin’s Post-Mortem
Z głębokim żalem informujemy o poważnym błędzie w integralności strukturalnej i kontroli platformy Merlin.
We wczesnych godzinach porannych kilku członków zespołu Back-End opróżniło wszystkie nasze kontrakty.
– Merlin (@TheMerlinDEX) April 26, 2023
„Z największym żalem musimy poinformować o poważnej awarii integralności strukturalnej i kontroli platformy Merlin. We wczesnych godzinach porannych kilku członków zespołu Back-End opróżniło wszystkie nasze kontrakty.”
Zespół projektowy dodaje dalej:
„Przedłożyliśmy wszystkie umowy przeznaczone do wykorzystania na naszej platformie firmie Certik, która przeprowadziła pełny audyt. Wystąpił jednak wyraźny nadzór nad nadrzędną władzą, jaką _owner [dana linia kodu, przyp. red] miał nad pulami. Ponadto zespół back-endowy, który również ma dostęp do naszego dostawcy hostingu, manipulował naszym kodem bez ich wiedzy, aby osiągnąć swój cel.”
Ściganie sprawców
W swoim oświadczeniu zespół Merlin dodaje, że zespół techniczny odpowiedzialny za rug pull prawdopodobnie znajduje się w Serbii i że skontaktowano się z lokalnymi władzami. Ponadto fundusze są nadal śledzone we współpracy z analitykami on-chain.
Od tego czasu CertiK wydał oświadczenie informujące swoją społeczność, że skradzione środki zostaną zwrócone ich posiadaczom i że „dalsze informacje” zostaną dostarczone na ten temat. CertiK stwierdza, że „nawet po podniesieniu kwestii klucza prywatnego” w swoim audycie, chce uczestniczyć w zwrocie kosztów poszkodowanym użytkownikom.
1/ CertiK bada plan rekompensat dla społeczności, aby pokryć ~ 2 mln USD środków użytkowników utraconych w wyniku wyciągnięcia Merlin DEX. Wstępne dochodzenia wskazują, że nieuczciwi programiści mają siedzibę w Europie i współpracujemy z organami ścigania, aby ich wyśledzić.
⬇️⬇️⬇️
– CertiK (@CertiK) 26 kwietnia 2023
Winnym zaoferowano ugodę: zwrot 80% środków w zamian za pozostałe 20% i wycofanie wszystkich zarzutów. DEX Merlin, który dopiero co został uruchomiony, nie ma obecnie płynności, podczas gdy sprzedaż jego tokena wciąż trwa
