Certik и ZK-Sync Dex Merlin исследуют план возмещения расходов на 2 млн долларов для жертв Rugpull

Блокчейнская компания Security Firm Certik и ZK-Sync Decentralized Exchange (DEX) Merlin работают над планом по возмещению пользователей, затронутых недавним эксплойтом, который истощал почти 2 миллиона долларов от последних.

В четверг Мерлин сообщил, что инцидент, который, как считается, был эксплойтом, на самом деле был ковриком несколькими мошенническими членами его команды застройки, которые манипулировали кодом протокола для достижения своей цели.

Certik и Merlin для компенсации жертвам

Напомним, что пул ликвидности Merlin был истощен в среду, через несколько часов после того, как сертификат провел проверку кода протокола. DEX проводил публичную продажу своего родного токена Mage, когда злоумышленник выполнил взлом.

Как сообщил Cryptopotato, Certik сказал, что анализ мероприятия предположил, что проблема управления частными ключами, возможно, привела к инциденту. Безопасная фирма сообщила, что она указала на риск централизации в аудите, проведенном в понедельник, и рекомендовала переключать Мерлин на децентрализованные механизмы, чтобы избежать отдельных точек отказа ключа.

После дальнейшего анализа Мерлин и Сертирик обнаружили, что взлом был инсайдерской работой от команды протокола. Бэк-энд команда внедрила функцию вызовов, которая дала им власть над контрактами и всеми торговыми парами в пулах ликвидности.

Разработчики также смогли манипулировать фронтальными контрактами и веб-хостом Мерлина, что позволило им выполнять несколько транзакций в цепочке, которые истощали публичную продажу.

Нашим непоколебимым приоритетом является возвращение всех средств на пострадавшие стороны и участников на платформе Merlin с самой ранней возможностью. С этой целью мы работаем вместе с @Certik (Team Doxx по плану восстановления Prospero и Alatar) над возмещением всех пострадавших пользователей.

- Мерлин (@ThemerLindex) 26 апреля 2023 г.

20% белая шляпа щедрость

В то время как Мерлин и Certik разрабатывают план компенсации, они также сообщили об этом соответствующих органах об инциденте и о местонахождении технической команды Rogue. Бэк-энда была прослежена до Сербии, Европы, и местные власти были уведомлены.

Протокол также набрал аналитиков в цепочке для мониторинга движения средств. Украденные активы были отслежены до двух кошельков и все еще были там на момент написания.

Между тем, Certik предложил разработчикам 20% щедрости белой шляпы, призывая их принять ее, чтобы избежать гнева закона.