Das Blockchain-Sicherheitsunternehmen CertiK startet einen Entschädigungsplan mit der Ethereum-Layer-2-Skalierungsplattform zkSync Era, um die 2 Millionen US-Dollar zu decken, die bei einem öffentlichen Verkauf der MAGE-Token von Merlin an der dezentralen Börse verloren gegangen sind.
In einer Erklärung gegenüber Cointelegraph vom 26. April bekräftigte CertiK, dass es den Austrittsbetrug untersucht, und hat auch das verbleibende Merlin-Team beauftragt, den Vergütungsplan einzuleiten. Es sagte:
„Erste Untersuchungen deuten darauf hin, dass die betrügerischen Entwickler in Europa ansässig sind, und CertiK wird mit den Strafverfolgungsbehörden zusammenarbeiten, um sie aufzuspüren, wenn direkte Verhandlungen erfolglos bleiben.“
Das Blockchain-Sicherheitsunternehmen fordert den abtrünnigen Entwickler auf, 80 % der gestohlenen Gelder zurückzugeben, und räumt 20 % als White-Hat-Kopfgeld ein.
Das Unternehmen wies auch darauf hin, dass die Privilegien privater Schlüssel „zur Unterstützung betroffener Benutzer verpflichtet“ seien, obwohl sie nicht in den Geltungsbereich einer intelligenten Vertragsprüfung fallen.
Merlin verlor am 26. April während seines dreitägigen öffentlichen Verkaufs von MAGE-Token ohne feste Obergrenze USD-Münzen (USDC) im Wert von etwa 850.000 $ und einige weitere relativ illiquide Token. Blockchain-Daten deuten darauf hin, dass ein Exploiter mit Kontrolle über den Liquiditätspool in der Lage war, die Gelder leicht abzuschöpfen.
Wir haben einige Recherchen zu Merlin Smart Contracts durchgeführt und den bösartigen Code identifiziert, der für das Abziehen von Geldern verantwortlich ist.
Diese beiden Codezeilen in der Initialisierungsfunktion erteilen im Wesentlichen die Genehmigung für die GebührTo-Adresse, eine unbegrenzte (type(uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) 26. April 2023
CertiK, das Merlins Code geprüft hat, antwortete Die ersten Ergebnisse deuten auf ein „potenzielles Problem bei der Verwaltung privater Schlüssel“ hin.
Wir untersuchen aktiv die @TheMerlinDEX Vorfall. Erste Ergebnisse deuten eher auf ein potenzielles Problem bei der Verwaltung privater Schlüssel als auf einen Exploit als Ursache hin.
Während Audits Probleme mit privaten Schlüsseln nicht verhindern können, heben wir immer Best Practices für Projekte hervor.
Sollte ein Foul …
— CertiK (@CertiK) 26. April 2023
Crypto Twitter stellte das CertiK-Audit in Frage, impliziert dass es einen Teppichzug geben könnte.
Der Gründer von Verichains, Thanh Nguyen, spielte auf eine „Hintertür“ in Merlins Code an und sagte, es sei ein „eindeutiges Sicherheitsrisiko, da es keinen Anwendungsfall gibt, der seine Zustimmung erfordert“.
3/4 Im Merlin-Code gibt es jedoch einen “Hintertür”-Code (L87-88), der es der Gebühr von MerlinFactory ermöglicht, alle Vermögenswerte im Paar zu übertragen, zusätzlich zu der Gebühr in der Tauschfunktion. Diese Hintertür ist ein klares Sicherheitsrisiko, da es keinen Anwendungsfall gibt, der ihre Zustimmung erfordert. pic.twitter.com/HAnwZT27ZS
— Thanh Nguyen (@redragonvn) 26. April 2023
„Während Audits potenzielle Risiken und Schwachstellen identifizieren können, können sie böswillige Aktivitäten von Seiten betrügerischer Entwickler wie Rug Pulls nicht verhindern“, sagte CertiK in einer Erklärung gegenüber Cointelegraph. „Wir ermutigen Benutzer, nach Projekten mit einem ‚KYC-Abzeichen‘ als zusätzliche Sicherheitsebene zu suchen, was bedeutet, dass das Projekt freiwillig einen KYC-Überprüfungsprozess durchlaufen hat.“
Verwandt: Ordinals Finance hat einen Rug Pull in Höhe von 1 Mio. USD durchgeführt: CertiK
Das Unternehmen erklärte, dass dies dazu beitragen kann, das Risiko von Insider-Bedrohungen wie Rug Pulls zu reduzieren und zu mindern.
CertiK sagte, es werde weiterhin Updates zu seinem Vergütungsplan und laufenden Untersuchungen bereitstellen.