La firma de seguridad blockchain CertiK está lanzando un strategy de compensación con la plataforma de escalado de capa 2 de Ethereum, zkSync Period, para cubrir los USD 2 millones perdidos durante una venta pública de tokens MAGE del exchange descentralizado Merlin.
En una declaración a Cointelegraph el 26 de abril, CertiK reiteró que está investigando la estafa de salida y también ha reclutado al equipo restante de Merlin para iniciar el program de compensación. La empresa dijo:
«Las primeras investigaciones indican que los desarrolladores deshonestos están afincados en Europa, y CertiK colaborará con las autoridades policiales para localizarlos si la negociación directa no tiene éxito».
La empresa de seguridad blockchain insta al desarrollador deshonesto a devolver el 80% de los fondos robados, concediendo el 20% restante como recompensa de hacker ético.
La firma también señaló que los privilegios de clave privada están «comprometidos a ayudar a los usuarios afectados» a pesar de que están fuera del alcance de una auditoría de contratos inteligentes.
Merlin perdió alrededor de USD 850,000 en USD Coin (USDC) y algunos tokens más relativamente ilíquidos el 26 de abril durante su venta pública de tokens MAGE de tres días sin ningún límite estimado. Datos de la cadena de bloques sugieren que un atacante con handle sobre el pool de liquidez pudo desviar fácilmente los fondos.
We did some exploration on Merlin smart contracts and we determined the destructive code liable for the draining of cash.
These two lines of code in the initialize perform are basically granting acceptance for the feeTo address to transfer an unrestricted (kind(uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
CertiK, que auditó el código de Merlin, respondió con sus conclusiones iniciales apuntando a un «posible problema de gestión de claves privadas».
We’re actively investigating the @TheMerlinDEX incident. Initial results issue to a prospective private crucial management concern relatively than an exploit as the root-trigger.
When audits cannot avoid personal critical issues, we always emphasize greatest techniques to jobs.
Need to any foul…
— CertiK (@CertiK) April 26, 2023
La comunidad cripto en Twitter cuestionó la auditoría de CertiK, dando a entender que podría haberse tratado de un rug pull.
El fundador de Verichains, Thanh Nguyen, aludió a una «puerta trasera» presente en el código de Merlin, afirmando que es un «claro riesgo para la seguridad, pues no hay ningún caso de uso que requiera su aprobación».
3/4 Even so, in the Merlin code, there is a «backdoor» code (L87-88) that will allow the feeTo of MerlinFactory to transfer all belongings in the pair, in addition to the price in the swap perform. This backdoor is a distinct safety danger as there is no use case that involves its acceptance. pic.twitter.com/HAnwZT27ZS
— Thanh Nguyen (@redragonvn) April 26, 2023
«Aunque las auditorías pueden identificar posibles riesgos y vulnerabilidades, no pueden evitar actividades maliciosas por parte de desarrolladores deshonestos, como los rug pulls», dijo CertiK en un comunicado a Cointelegraph. «Animamos a los usuarios a buscar proyectos con un ‘distintivo KYC’ como una capa adicional de seguridad, lo que significa que el proyecto ha pasado voluntariamente por un proceso de investigación KYC».
La empresa explicó que hacerlo puede ayudar a reducir y mitigar el riesgo de amenazas internas, como los rug pulls.
CertiK dijo que continuaría proporcionando actualizaciones sobre su plan de compensación y la real investigación.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto full invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.