DEX Merlin та CertiK пообіцяли повернення коштів жертвам зламу на $2 млн
Розробники децентралізованої біржі (DEX) Merlin на базі zkSync Era розкрили деталі експлойту на $2 млн і заявили про плани відшкодування втрат користувачів.
Merlin's Post-Mortem
— Merlin (@TheMerlinDEX) April 26, 2023
it is with deepest regret that we have to notify you of a major fault in the structural integrity and controls of the Merlin Platform.
In the early hours of this morning the several members of the Back-End Team drained all of our Contracts.
26 квітня основні пули ліквідності щойно запущеної платформи були спустошені.
Команда заявила про експлойт і рекомендувала користувачам відкликати апрув для всіх смартконтрактів. Подробиць у Merlin не розкрили.
Користувачі звернули увагу на те, що 24 квітня, напередодні запуску DEX, фахівці CertiK завершили повторний аудит коду платформи. Низка експертів виявила у ПЗ вразливість, яка потенційно дозволяла вивести всі кошти з пулів. Деякі користувачі запідозрили реалізацію проєктом шахрайської схеми rug-pull.
У Merlin заявили, що кошти користувачів вивели кілька членів технічної команди.
«Вони провели декілька ончейн-транзакцій, щоб спустошити пули, зробити продаж та маніпулювати нашими фронтенд-контрактами. Це було зроблено через функцію, яка дозволяла здійснити виклик усім парам на платформі», — уточнили представники біржі.
Вони також визнали, що бекенд-розробники мали доступ до коду й могли внести зміни.
We had submitted all intended contracts to be used on our platform to Certik who carried out a full audit. However there has been a clear oversight on the overarching power the _owner had of the pools.
— Merlin (@TheMerlinDEX) April 26, 2023
Команда біржі опублікувала наявні в них дані підозрюваних у шахрайстві програмістів у вигляді акаунтів на GitHub. Біржа звернулася за сприянням у розслідуванні до влади Сербії, де, за її даними, мешкає ця група.
Back-End Technical Team Committers:https://t.co/mArANNfOsfhttps://t.co/JXG4E8wpnNhttps://t.co/iCc761ad8ihttps://t.co/m4JFK9bSl3
— Merlin (@TheMerlinDEX) April 26, 2023
Представники Merlin також наголосили, що над планом компенсації працюють разом із CertiK. У компанії-аудиторі підтвердили можливість участі у виплаті відшкодування.
«Ми закликаємо розробників-шахраїв прийняти 20% винагороди як білих хакерів. Незважаючи на те, що ми порушили проблеми з привілеями закритого ключа у звіті, ми хочемо допомогти постраждалим і сповнені рішучості вистежити тих, хто стоїть за цим скамом», — заявили в CertiK.
2/ We urge the rogue developers to accept a 20% white hat bounty. Although we raised the private key privilege issues in the audit report, we want to assist impacted users. We are determined to track down those behind this rug pull. More compensation details will be released.
— CertiK (@CertiK) April 26, 2023
Нагадаємо, у квітні зловмисник, щo вкрав близько $9 млн з пулу ліквідності DEX SafeMoon на BNB Chain, погодився повернути 80% коштів за припинення переслідування.