CertiK y zkSync lanzarán un plan de compensación por un exploit de USD 2 millones que afectó al exchange descentralizado Merlin
La firma de seguridad blockchain CertiK está lanzando un plan de compensación con la plataforma de escalado de capa 2 de Ethereum, zkSync Era, para cubrir los USD 2 millones perdidos durante una venta pública de tokens MAGE del exchange descentralizado Merlin.
En una declaración a Cointelegraph el 26 de abril, CertiK reiteró que está investigando la estafa de salida y también ha reclutado al equipo restante de Merlin para iniciar el plan de compensación. La empresa dijo:
“Las primeras investigaciones indican que los desarrolladores deshonestos están afincados en Europa, y CertiK colaborará con las autoridades policiales para localizarlos si la negociación directa no tiene éxito”.
La empresa de seguridad blockchain insta al desarrollador deshonesto a devolver el 80% de los fondos robados, concediendo el 20% restante como recompensa de hacker ético.
La firma también señaló que los privilegios de clave privada están “comprometidos a ayudar a los usuarios afectados” a pesar de que están fuera del alcance de una auditoría de contratos inteligentes.
Merlin perdió alrededor de USD 850,000 en USD Coin (USDC) y algunos tokens más relativamente ilíquidos el 26 de abril durante su venta pública de tokens MAGE de tres días sin ningún límite estimado. Datos de la cadena de bloques sugieren que un atacante con control sobre el pool de liquidez pudo desviar fácilmente los fondos.
We did some research on Merlin smart contracts and we identified the malicious code responsible for the draining of funds.
These two lines of code in the initialize function are essentially granting approval for the feeTo address to transfer an unlimited (type(uint256).max)… pic.twitter.com/mIksh4HkhB
— eZKalibur ∎ (@zkaliburDEX) April 26, 2023
CertiK, que auditó el código de Merlin, respondió con sus conclusiones iniciales apuntando a un “posible problema de gestión de claves privadas”.
We’re actively investigating the @TheMerlinDEX incident. Initial findings point to a potential private key management issue rather than an exploit as the root-cause.
While audits cannot prevent private key issues, we always highlight best practices to projects.
Should any foul…
— CertiK (@CertiK) April 26, 2023
La comunidad cripto en Twitter cuestionó la auditoría de CertiK, dando a entender que podría haberse tratado de un rug pull.
El fundador de Verichains, Thanh Nguyen, aludió a una “puerta trasera” presente en el código de Merlin, afirmando que es un “claro riesgo para la seguridad, pues no hay ningún caso de uso que requiera su aprobación”.
3/4 However, in the Merlin code, there is a “backdoor” code (L87-88) that allows the feeTo of MerlinFactory to transfer all assets in the pair, in addition to the fee in the swap function. This backdoor is a clear security risk as there is no use case that requires its approval. pic.twitter.com/HAnwZT27ZS
— Thanh Nguyen (@redragonvn) April 26, 2023
“Aunque las auditorías pueden identificar posibles riesgos y vulnerabilidades, no pueden evitar actividades maliciosas por parte de desarrolladores deshonestos, como los rug pulls”, dijo CertiK en un comunicado a Cointelegraph. “Animamos a los usuarios a buscar proyectos con un ‘distintivo KYC’ como una capa adicional de seguridad, lo que significa que el proyecto ha pasado voluntariamente por un proceso de investigación KYC”.
La empresa explicó que hacerlo puede ayudar a reducir y mitigar el riesgo de amenazas internas, como los rug pulls.
CertiK dijo que continuaría proporcionando actualizaciones sobre su plan de compensación y la actual investigación.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.
