ブロックチェーン セキュリティ企業の CertiK と分散型取引所 zk-Sync (DEX) Merlin は、後者から約 200 万ドルを吸い上げた最近のエクスプロイトの影響を受けたユーザーに返金する計画に取り組んでいます。
Merlin は木曜日、悪用であると広く信じられていたこの事件は、実際には、プロトコルのコードを操作して目的を達成するバックエンド開発者チームの不正なメンバーによって引っ張られたカーペットであったことを明らかにしました.
犠牲者を補償するためのCertiKとMerlin
CertiK がプロトコル コードを検証してから数時間後、マーリンの流動性プールは水曜日に枯渇しました。攻撃者がハッキングを実行したとき、DEX はそのネイティブ トークンである MAGE の公開販売を行っていました。
CryptoPotato によって報告されたように、CertiK は、イベントの分析により、秘密鍵の処理の問題がクラッシュにつながった可能性があることを示唆していると述べました。セキュリティ会社は、月曜日に実施された監査で集中化のリスクを強調したことを明らかにし、主要な単一障害点を回避するためにマーリンに分散型メカニズムへの移行を推奨しました。
さらに分析した結果、Merlin と CertiK は、ハッキングがプロトコル チームの内部作業であることを発見しました。バックエンド チームは、リクイディティ プール内のコントラクトとすべての取引ペアに対する権限を与えるコール アクション機能を実装しました。
開発者は、Merlin のフロントエンド コントラクトと Web ホストを操作することもでき、公開販売を枯渇させるいくつかのオンチェーン トランザクションを実行できました。
私たちの揺るぎない優先事項は、Merlin プラットフォームの利害関係者と参加者にすべての資金をできるだけ早く返すことです。そのために、 @Certik (Prospero および Alatar Recovery Plan の Team DOXX) と協力して、影響を受けるすべてのユーザーに払い戻しを行っています。
— マーリン (@TheMerlinDEX) 2023 年 4 月 26 日
20%ホワイトハットサイズ。
Merlin と CertiK は補償計画を策定中ですが、適切な当局に墜落と不正な技術チームの所在を通知しました。バックエンド チームはヨーロッパのセルビアにまで遡り、地方自治体に通知されました。
このプロトコルは、資金の動きを監視するためにオンチェーンアナリストも募集しています。盗まれた商品は 2 つの財布に突き止められており、この記事の執筆時点でもそこにありました。
一方、CertiK は開発者に 20% のホワイト ハット報奨金を提供し、法律の怒りを避けるためにそれを受け入れるように促しています。
投稿CertiK と zk-Sync DEX Merlin Explore $2M Reimbursement Plan for Rugpull Victims は、 CryptoPotatoに最初に登場しました。