La firma de seguridad blockchain CertiK y el intercambio descentralizado zk-Sync (DEX) Merlin están trabajando en un plan para reembolsar a los usuarios afectados por un exploit reciente que desvió casi $ 2 millones de este último.
Merlin reveló el jueves que el incidente, que se creía ampliamente que era un exploit, fue, de hecho, una alfombra tirada por varios miembros deshonestos de su equipo de desarrolladores de back-end, que manipularon el código del protocolo para lograr su objetivo.
CertiK y Merlin para indemnizar a las víctimas
Como recordatorio, el fondo de liquidez de Merlin se agotó el miércoles, horas después de que CertiK verificara el código de protocolo. DEX estaba realizando la venta pública de su token nativo, MAGE, cuando un atacante realizó el hackeo.
Según lo informado por CryptoPotato , CertiK dijo que un análisis del evento sugirió que un problema de manejo de clave privada pudo haber provocado el bloqueo. La firma de seguridad reveló que había resaltado un riesgo de centralización en su auditoría realizada el lunes y recomendó que Merlin pasara a mecanismos descentralizados para evitar puntos únicos clave de falla.
Tras un análisis más detallado, Merlin y CertiK descubrieron que el hackeo fue un trabajo interno del equipo de protocolo. El equipo de back-end implementó una función de llamada de acción que les dio poder sobre los contratos y todos los pares comerciales en los fondos de liquidez.
Los desarrolladores también pudieron manipular los contratos front-end y el alojamiento web de Merlin, lo que les permitió realizar varias transacciones en cadena que secaron la venta pública.
Nuestra prioridad inquebrantable es devolver todos los fondos a las partes interesadas y participantes en la plataforma Merlin lo antes posible. Con ese fin, estamos trabajando junto con @Certik (Team DOXX of Prospero and Alatar Recovery Plan) para reembolsar a todos los usuarios afectados.
– Merlín (@TheMerlinDEX) 26 de abril de 2023
Un 20% de tamaño de sombrero blanco.
Mientras Merlin y CertiK están elaborando un plan de compensación, también han notificado a las autoridades competentes sobre el accidente y el paradero del equipo técnico deshonesto. El equipo de back-end ha sido rastreado hasta Serbia, Europa y las autoridades locales han sido notificadas.
El protocolo también ha contratado analistas en cadena para monitorear el movimiento de los fondos. Los bienes robados se rastrearon hasta dos billeteras y todavía estaban allí en el momento de escribir este artículo.
Mientras tanto, CertiK ha ofrecido a los desarrolladores una recompensa de sombrero blanco del 20%, instándolos a aceptarla para evitar la ira de la ley.
La publicación CertiK y zk-Sync DEX Merlin exploran el plan de reembolso de $2 millones para las víctimas de Rugpull apareció por primera vez en CryptoPotato .