DEX Merlin и CertiK пообещали возврат средств жертвам взлома на $2 млн

Разработчики децентрализованной биржи (DEX) Merlin на базе zkSync Era раскрыли детали эксплойта на сумму ~$2 млн и заявили о планах возмещения потерь пользователей.  

26 апреля основные пулы ликвидности только что запущенной платформы были опустошены.

Команда заявила об эксплойте и рекомендовала пользователям отозвать одобрения для всех смарт-контрактов. Подробностей в Merlin не раскрыли.

Пользователи обратили внимание, что 24 апреля, накануне запуска DEX, специалисты CertiK завершили повторный аудит кода платформы. Ряд экспертов обнаружил в ПО уязвимость, которая потенциально позволяла вывести все средства из пулов. Некоторые пользователи заподозрили реализацию проектом мошеннической схемы rug-pull.

В Merlin заявили, что средства пользователей вывели несколько членов технической команды.  

«Они провели несколько ончейн-транзакций, чтобы истощить пулы, произвести продажу и манипулировать нашими фронтенд-контрактами. Это было сделано через функцию, которая позволяла осуществить вызов для всех пар на платформе», — уточнили представители биржи.

По их словам, имело место «явное упущение в отношении всеобъемлющей власти» этой опции над всеми пулами со стороны проводивших аудит специалистов CertiK. Однако в Merlin также признали, что разработчики бэкенда имели доступ к коду и могли внести изменения.

Команда биржи опубликовала имеющиеся у них данные подозреваемых в мошенничестве программистов в виде аккаунтов на GitHub. Биржа обратилась за содействием в расследовании к властям Сербии, где, по ее данным, проживает эта группа.

Представители Merlin также отметили, что над планом компенсации работают вместе с CertiK. В компании-аудиторе подтвердили возможность участия в выплате возмещения. 

«Мы призываем разработчиков-мошенников принять 20% вознаграждения в качестве белых хакеров. Несмотря на то, что мы подняли проблемы с привилегиями закрытого ключа в отчете, мы хотим помочь пострадавшим и полны решимости выследить тех, кто стоит за этим скамом», — заявили в CertiK.

Напомним, в апреле укравший около $9 млн из пула ликвидности DEX SafeMoon на BNB Chain злоумышленник согласился вернуть 80% средств за прекращение преследования.

Подписывайтесь на ForkLog в социальных сетях

Telegram (основной канал) Discord Instagram
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER

Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!

*Ежедневная рассылка — краткая сводка наиболее важных новостей предыдущего дня. Чтение занимает не больше двух минут. Выходит в рабочие дни в 06:00 (UTC)
*Еженедельная рассылка — объясняем, кто и как изменил индустрию за неделю. Идеально подходит для тех, кто не успевает за новостным потоком в течение дня. Выходит в пятницу в 16:00 (UTC).

Мы используем файлы cookie для улучшения качества работы.

Пользуясь сайтом, вы соглашаетесь с Политикой приватности.

OK
Exit mobile version