La firma de seguridad blockchain CertiK y el intercambio descentralizado (DEX) zk-Sync Merlin están trabajando en un plan para reembolsar a los usuarios afectados por un exploit reciente que drenó casi $ 2 millones de este último.
Merlin reveló el jueves que el incidente, que se creía ampliamente que era un exploit, fue, de hecho, un intento de varios miembros deshonestos de su equipo de desarrolladores de back-end, que manipularon el código del protocolo para lograr su objetivo.
CertiK y Merlin para indemnizar a las víctimas
Recuerde que el fondo de liquidez de Merlin se agotó el miércoles, horas después de que CertiK auditara el código del protocolo. DEX estaba realizando la venta pública de su token nativo, MAGE, cuando un atacante ejecutó el hack.
Como criptopatata Según lo informado, CertiK dijo que un análisis del evento sugirió que un problema de administración de clave privada pudo haber llevado al incidente. La firma de seguridad reveló que había señalado un riesgo de centralización en la auditoría realizada el lunes y recomendó que Merlin cambie a mecanismos descentralizados para evitar puntos únicos de falla clave.
Tras un análisis más detallado, Merlin y CertiK descubrieron que el hackeo fue un trabajo interno del equipo del protocolo. El equipo de back-end implementó una función de llamada a acción que les dio poder sobre los contratos y todos los pares comerciales en los fondos de liquidez.
Los desarrolladores también pudieron manipular los contratos front-end y el alojamiento web de Merlin, lo que les permitió ejecutar varias transacciones en cadena que agotaron la venta pública.
Nuestra prioridad inquebrantable es devolver todos los fondos a las partes y participantes afectados en la plataforma Merlin lo antes posible. Para ello, estamos trabajando junto @Certik (Equipo DOXX de Prospero y Alatar Recovery Plan) para reembolsar a todos los usuarios afectados.
— Merlín (@TheMerlinDEX) 26 de abril de 2023
Una recompensa de sombrero blanco del 20 %
Mientras Merlin y CertiK están elaborando un plan de compensación, también han informado a las autoridades pertinentes sobre el incidente y el paradero del equipo técnico deshonesto. El equipo de back-end se ha rastreado hasta Serbia, Europa, y se ha notificado a las autoridades locales.
El protocolo también ha contratado analistas en cadena para monitorear el movimiento de los fondos. Los bienes sustraídos han sido rastreado a dos billeteras y todavía estaban allí en el momento de escribir este artículo.
Mientras tanto, CertiK ha Ofrecido los desarrolladores una recompensa de sombrero blanco del 20%, instándolos a aceptarla para evitar la ira de la ley.
Binance Free $100 (Exclusivo): utilice este enlace para registrarse y recibir $100 gratis y un 10 % de descuento en las tarifas del primer mes de Binance Futures (términos).
Oferta especial de PrimeXBT: use este enlace para registrarse e ingrese el código CRYPTOPOTATO50 para recibir hasta $ 7,000 en sus depósitos.