A empresa de segurança Blockchain CertiK e a exchange descentralizada zk-Sync (DEX) Merlin estão trabalhando em um plano para reembolsar os usuários afetados por uma exploração recente que desviou quase US$ 2 milhões desta última.
Merlin revelou na quinta-feira que o incidente, que se acreditava ser uma exploração, era, na verdade, um tapete puxado por vários membros desonestos de sua equipe de desenvolvedores de back-end, que manipularam o código do protocolo para atingir seu objetivo.
CertiK e Merlin para compensar as vítimas
Como lembrete, o pool de liquidez do Merlin foi esgotado na quarta-feira, horas depois que a CertiK verificou o código do protocolo. O DEX estava realizando a venda pública de seu token nativo, MAGE, quando um invasor realizou o hack.
Conforme relatado pela CryptoPotato , a CertiK disse que uma análise do evento sugere que um problema de manipulação de chave privada pode ter levado ao travamento. A empresa de segurança revelou que destacou um risco de centralização em sua auditoria realizada na segunda-feira e recomendou a mudança de Merlin para mecanismos descentralizados para evitar pontos únicos de falha.
Após uma análise mais aprofundada, Merlin e CertiK descobriram que o hack foi um trabalho interno da equipe de protocolo. A equipe de back-end implementou um recurso de ação de chamada que lhes deu poder sobre os contratos e todos os pares de negociação nos pools de liquidez.
Os desenvolvedores também foram capazes de manipular os contratos de front-end e o host da web do Merlin, permitindo-lhes realizar várias transações na cadeia que acabaram com a venda pública.
Nossa prioridade inabalável é devolver todos os fundos às partes interessadas e participantes na plataforma Merlin o mais rápido possível. Para isso, estamos trabalhando em conjunto com @Certik (Equipe DOXX do Prospero e Alatar Recovery Plan) para reembolsar todos os usuários afetados.
— Merlin (@TheMerlinDEX) 26 de abril de 2023
Um tamanho de chapéu branco de 20%.
Enquanto Merlin e CertiK estão elaborando um plano de compensação, eles também notificaram as autoridades competentes sobre o acidente e o paradeiro da equipe de tecnologia desonesta. A equipe de back-end foi localizada na Sérvia, Europa e as autoridades locais foram notificadas.
O protocolo também recrutou analistas on-chain para monitorar o movimento dos fundos. Os bens roubados foram rastreados até duas carteiras e ainda estavam lá no momento da escrita.
Enquanto isso, a CertiK ofereceu aos desenvolvedores uma recompensa de chapéu branco de 20%, instando-os a aceitá-la para evitar a ira da lei.
O post CertiK e zk-Sync DEX Merlin exploram o plano de reembolso de US$ 2 milhões para vítimas de Rugpull apareceu pela primeira vez em CryptoPotato .