Компания Blockchain Security Firm Certik запускает план компенсации с платформой масштабирования Ethereum Layer-2 Zksync Era, чтобы покрыть 2 миллиона долларов, потерянные во время публичной продажи децентрализованных токенов Maglin's Mage.

В заявлении для Cointelegraph 26 апреля Certik подтвердил, что расследует мошенничество с выходом, а также заручилась оставшейся командой Merlin для начала плана компенсации. Он сказал:

«Первоначальные расследования показывают, что разработчики Rogue базируются в Европе, и Certik будет сотрудничать с правоохранительными органами, чтобы отследить их, если прямые переговоры не удастся».

Компания по безопасности блокчейна призывает разработчика Rogue вернуть 80% похищенных средств, уступая 20% как щедрость белой шляпы.

Фирма также отметила, что привилегии частного ключа «привержены оказанию помощи застравному пользователям», несмотря на то, что они выходят за рамки аудита смарт -контракта.

Мерлин потерял около 850 000 долларов США на монету доллара США (USDC) и несколько более относительно неликвидных токенов 26 апреля во время трехдневной публичной продажи Mage Tokens без какого-либо жесткого ограничения. Данные блокчейна свидетельствуют о том, что эксплуататор с контролем над пулом ликвидности смог легко просеять средства.

Мы провели некоторые исследования по смарт -контрактам Merlin, и мы определили вредоносный код, ответственный за истощение средств.

Эти две строки кода в функции инициализации по существу предоставляют одобрение адреса FOTE для передачи неограниченного (тип (Uint256) .max)… pic.Twitter.com/miksh4hkhb

- Ezkalibur ∎ (@zkaliburdex) 26 апреля 2023 г.

Certik, который проверял код Мерлина, ответил своими первоначальными результатами, указывающими на «потенциальную проблему управления частными ключами».

Мы активно расследуем инцидент @ThemerLINDEX. Первоначальные результаты указывают на потенциальную проблему управления частными ключами, а не подход в качестве основной причины.

В то время как аудиты не могут предотвратить проблемы с личным ключом, мы всегда выделяем лучшие практики для проектов.

Должен какой -либо фол ...

- certik (@certik) 26 апреля 2023 г.

Crypto Twitter поставила под сомнение аудиту Certik, подразумевая, что может быть вытягивание коврика.

Основатель Verichains Thanh Nguyen намекал на «Backdoor», присутствующий в коде Мерлина, заявив, что это «четкий риск безопасности, поскольку нет никакого использования, который требует его одобрения».

3/4, однако, в коде Мерлина существует код «бэкдор» (L87-88), который позволяет ногам MerlinFactory перенести все активы в паре, в дополнение к плате в функции подкачки. Этот бэкдор является четким риском безопасности, так как нет никакого использования, который требует его одобрения. pic.twitter.com/hanwzt27zs

- Тан Нгуен (@redragonvn) 26 апреля 2023 г.

«В то время как аудиты могут выявить потенциальные риски и уязвимости, они не могут предотвратить вредоносную деятельность со стороны разработчиков, таких как коврик», - в заявлении Certik в заявлении для Cointelegraph. «Мы рекомендуем пользователям искать проекты с« знаком KYC »в качестве дополнительного уровня безопасности, что означает, что проект добровольно прошел процесс проверки KYC».

Фирма объяснила, что это может помочь уменьшить и смягчить риск инсайдерских угроз, таких как вытягивание коврика.

Certik сказал, что будет продолжать предоставлять обновления о своем плане компенсации и продолжающегося расследования.

Источник