區塊鏈安全公司 CertiK 和去中心化交易所 zk-Sync (DEX) Merlin 正在製定一項計劃,向受最近漏洞利用影響的用戶退款,該漏洞從後者那裡竊取了近 200 萬美元。
Merlin 週四透露,這起被廣泛認為是漏洞利用的事件實際上是由其後端開發團隊的幾名流氓成員拉的地毯,他們操縱協議的代碼來實現他們的目標。
CertiK 和 Merlin 賠償受害者
提醒一下,在 CertiK 驗證協議代碼數小時後,Merlin 的流動資金池於週三耗盡。當攻擊者進行黑客攻擊時,DEX 正在公開銷售其原生代幣 MAGE。
據CryptoPotato 報導,CertiK 表示,對該事件的分析表明,私鑰處理問題可能導致了崩潰。這家安全公司透露,它在周一進行的審計中強調了中心化風險,並建議 Merlin 轉向去中心化機制,以避免關鍵的單點故障。
經過進一步分析,Merlin 和 CertiK 發現黑客攻擊是協議團隊的內部工作。後端團隊實施了一個呼叫操作功能,使他們能夠控制流動性池中的合約和所有交易對。
開發人員還能夠操縱 Merlin 的前端合約和網絡主機,使他們能夠執行數項鍊上交易,從而停止公開發售。
我們堅定不移的首要任務是盡快將所有資金返還給 Merlin 平台上的利益相關者和參與者。為此,我們正在與@Certik (Prospero 和 Alatar Recovery Plan 的 DOXX 團隊)合作,為所有受影響的用戶退款。
-梅林 (@TheMerlinDEX) 2023 年 4 月 26 日
20% 的白帽大小。
在 Merlin 和 CertiK 制定補償計劃的同時,他們還已將墜機事件和流氓技術團隊的下落通知了有關當局。後端團隊已被追踪到塞爾維亞、歐洲,並已通知地方當局。
該協議還招募了鏈上分析師來監控資金的流動。贓物被追踪到兩個錢包,在撰寫本文時仍然存在。
與此同時,CertiK 向開發者提供了20% 的白帽賞金,敦促他們接受賞金以避免觸犯法律。
CertiK 和 zk-Sync DEX Merlin 為 Rugpull 受害者探索 200 萬美元報銷計劃的帖子首次出現在CryptoPotato上。