Der intelligente Vertragsprüfer CertiK behauptet, 160.000 US-Dollar von Merlin blockiert zu haben, einer zk-Sync-basierten dezentralen Börse (DEX), die das Zentrum eines betrügerischen Insider-„Rugpull“ war, der Benutzer letzte Woche 1,8 Millionen US-Dollar verloren hat.
CertiK geteilt die Nachricht von seinem erfolgreichen Einfrieren der gestohlenen Gelder in Höhe von 160.000 US-Dollar in einem Update an seine 257.700 Twitter-Follower am 5. Mai.
„Wir haben mit Hilfe von Partnern erfolgreich gestohlene Gelder in Höhe von 160.000 US-Dollar eingefroren“, sagte CertiK und fügte hinzu, dass sie die Bewegung der gestohlenen Gelder weiterhin überwachen:
Wir haben mit Hilfe von Partnern erfolgreich 160.000 $ der gestohlenen Gelder eingefroren. Wir werden weiterhin die Bewegung aller gestohlenen Gelder überwachen, um zu versuchen, den verbleibenden Betrag einzufrieren und wiederzuerlangen.
— CertiK (@CertiK) 4. Mai 2023
Die Firma erklärte, dass sie versucht habe, mit Merlin zu „zusammenarbeiten“, um die Gelder zurückzuerhalten, die vom „Rugpull“ vom 25. April gestohlen worden seien, aber die Bemühungen seien erfolglos gewesen.
Dies veranlasste die Firma, sich an die Strafverfolgungsbehörden in den Vereinigten Staaten und im Vereinigten Königreich zu wenden, um zu versuchen, die Identitäten der pseudonymen Betreiber aufzudecken:
„Dieser Mangel an Zusammenarbeit hat unsere Bemühungen erschwert, Opfer zu validieren und ihnen zu helfen. Wir konzentrieren uns auf die Zusammenarbeit mit den Strafverfolgungsbehörden und haben Informationen an die zuständigen US- und britischen Behörden übermittelt.“
„Wir prüfen alle Möglichkeiten, Exit-Scams mit den von uns bereitgestellten 2 Millionen US-Dollar zu bekämpfen“, fügte CertiK hinzu.
Die Sicherheitsfirma glaubt, dass die „bösartigen Entwickler“ in Europa ansässig sind, nach zu einem früheren Beitrag.
In Bezug auf den Exit-Betrug sagte CertiK: „Merlin-Insider haben die Brieftaschenprivilegien des Eigentümers missbraucht“, was mit seiner Initiale übereinstimmt finden dass es von einem Problem mit einem privaten Schlüssel herrührt und nicht von einem Exploit.
Merlin behauptet, der Rug Pull sei von seinem Back-End-Team durchgeführt worden, dem sie angeblich ein „hohes Maß an Vertrauen“ entgegengebracht hätten.
Wir sind zutiefst traurig über die Maßnahmen des technischen Teams, dem wir ein hohes Maß an Vertrauen entgegenbringen. Merlin wird unsere Community weiterhin unterstützen und das Problem lösen.
— Merlin (@TheMerlinDEX) 26. April 2023
Verwandt: Die Krypto-Betrügereien, Exploits und Hacks im April führten zu einem Verlust von 103 Millionen US-Dollar – CertiK
CertiK hingegen machte sich selbst einen Teil der Schuld dafür zu, dass die Benutzer nicht ordnungsgemäß über die Zentralisierungsrisiken informiert wurden.
In einer Mitteilung an Cointelegraph sagte die Firma, dass sie dies in zukünftigen Prüfungszusammenfassungen stärker betonen würden.
„Wir arbeiten daran, die Übersichtlichkeit unserer Prüfungszusammenfassungen in unseren Berichten zu verbessern – insbesondere in Bezug auf Zentralisierungsrisiken – und besser mit der Community über den Zweck einer Prüfung zu kommunizieren.“
In Zukunft wird CertiK Zentralisierungsrisiken in Auditzusammenfassungen priorisieren, um sicherzustellen, dass Benutzer ein vollständiges Bild potenzieller Risiken erhalten.
Wir sind uns bewusst, dass Prüfungsberichte sehr technische Dokumente sein können, und es ist unsere Aufgabe, die Risiken klar und transparent zu kommunizieren.
— CertiK (@CertiK) 4. Mai 2023
CertiK betonte jedoch, dass intelligente Vertragsprüfer nicht vollständig dafür verantwortlich gemacht werden sollten, dass sie Rug Pulls nicht erkennen:
„Code-Audits dienen dem Aufdecken von Schwachstellen, nicht dem Aufdecken eines potenziellen Rugpulls. Es ist wichtig zu erkennen, dass bei vielen großen und kleinen Projekten Zentralisierungsprobleme aufgetreten sind und die überwiegende Mehrheit nicht zu einem Rückschlag führt“, sagte die Firma.
Die Firma gestartet einen Entschädigungsplan in Höhe von 2 Millionen Dollar zur Deckung der Gelder, die infolge des „Exit-Betrugs“ am 27. April verloren gegangen sind.
Die Firma fügte hinzu, dass die zugesagten Mittel verwendet werden, um Austrittsbetrug zu verhindern und Opfern nach Möglichkeit zu helfen.
Zeitschrift: Krypto-Audits und Bug-Bounties sind kaputt: So beheben Sie sie