Merlin, новый DEX, запущенный на zkSync, пострадал от кражи почти $2 млн во время публичной продажи токенов MAGE. Техническая команда, ответственная за это, внедрила вредоносный код, несмотря на недавний аудит, проведенный фирмой CertiK, специализирующейся на безопасности блокчейна. Против ответственных лиц, которые, предположительно, базируются в Сербии, были предприняты юридические действия.
Проект «Мерлин» перетягивает ковер
Вчера, в среду 26 апреля, на децентрализованной бирже Merlin (DEX), недавно запущенной в сети zkSync, произошло странное событие. На DEX, которая только что прошла аудит, проведенный компанией CertiK, специализирующейся на безопасности блокчейна, во время публичной продажи токена MAGE были опустошены резервы ликвидности на сумму чуть менее 2 миллионов долларов.
Сначала все, естественно, указывали на аудит, поскольку наиболее вероятной гипотезой казался взлом. Со своей стороны, CertiK изначально заявила, что ее первоначальные выводы указывают скорее на «потенциальную проблему с управлением закрытыми ключами», чем на взлом или использование дефекта.
В итоге, похоже, что именно техническая команда, отвечающая за проект, внедрила вредоносный код в структуру DEX.
Вскрытие Мерлина
С глубочайшим сожалением мы вынуждены уведомить вас о серьезной неисправности в структурной целостности и системах управления платформы «Мерлин».
Рано утром несколько членов команды Back-End слили все наши контракты.
— Merlin (@TheMerlinDEX) Апрель 26, 2023
«С величайшим сожалением мы вынуждены сообщить вам о серьезном сбое в структурной целостности и системе управления платформы Merlin. Рано утром несколько членов команды Back-End опустошили все наши контракты. «
Команда проекта добавляет, далее:
«Мы передали все контракты, предназначенные для использования на нашей платформе, в компанию Certik, которая провела полный аудит. Однако был выявлен явный недосмотр, связанный с тем, что _owner [соответствующая строка кода, примечание редактора] имел преимущественную власть над пулами. Кроме того, команда back-end, которая также имеет доступ к нашему хостинг-провайдеру, манипулировала нашим кодом без их ведома для достижения своей цели. «
Преследование виновных
В своем заявлении команда Merlin добавляет, что техническая группа, ответственная за перетягивание ковра, предположительно находится в Сербии, и что с местными властями были установлены соответствующие контакты. Кроме того, продолжается отслеживание средств в сотрудничестве с аналитиками на цепочке.
CertiK выпустила заявление, в котором сообщила своему сообществу, что похищенные средства будут возмещены их владельцам, и что «дальнейшая информация» будет предоставлена по этому вопросу. CertiK заявляет, что «даже после поднятия вопросов о закрытом ключе» в ходе аудита, она желает принять участие в возмещении ущерба пострадавшим пользователям.
1/ CertiK изучает план компенсации сообщества, чтобы покрыть ~$2M пользовательских средств, потерянных в результате коверканья Merlin DEX. Первоначальное расследование показало, что мошеннические разработчики находятся в Европе, и мы сотрудничаем с правоохранительными органами для их розыска.
⬇️⬇️⬇️
— CertiK (@CertiK) April 26, 2023
Виновным лицам была предложена сделка: возврат 80% средств в обмен на оставшиеся 20% и снятие всех обвинений. DEX Merlin, который только что был запущен, теперь не имеет ликвидности, а продажа его токена все еще продолжается
