Suche
Mein Konto
CertiK a zk-Sync DEX Merlin Zvážte plán úhrady 2 miliónov dolárov pre obete Rugpull
Blockchain bezpečnostná firma CertiK a zk-Sync Decentralized Exchange (DEX) Merlin pracujú na pláne odškodnenia používateľov postihnutých nedávnym zneužitím, ktoré odčerpalo takmer 2 milióny dolárov. Merlin vo štvrtok odhalil, že incident, o ktorom sa všeobecne predpokladá, že ide o zneužitie, bol v skutočnosti ťahaním koberca niekoľkými nečestnými členmi jeho back-endového vývojového tímu, ktorí manipulovali s kódom protokolu, aby dosiahli svoj cieľ. CertiK a Merlin odškodnia obete Pripomínajú, že Merlinov fond likvidity bol vyčerpaný v stredu, niekoľko hodín po tom, čo CertiK zverejnil kód protokolu...
CertiK a zk-Sync DEX Merlin Zvážte plán úhrady 2 miliónov dolárov pre obete Rugpull
Blockchain bezpečnostná firma CertiK a zk-Sync Decentralized Exchange (DEX) Merlin pracujú na pláne odškodnenia používateľov postihnutých nedávnym zneužitím, ktoré odčerpalo takmer 2 milióny dolárov.
Merlin vo štvrtok odhalil, že incident, o ktorom sa všeobecne predpokladá, že ide o zneužitie, bol v skutočnosti ťahaním koberca niekoľkými nečestnými členmi jeho back-endového vývojového tímu, ktorí manipulovali s kódom protokolu, aby dosiahli svoj cieľ.
CertiK a Merlin na odškodnenie obetí
Pripomeňme, že fond likvidity Merlin bol vyprázdnený v stredu, niekoľko hodín po tom, čo CertiK auditoval kód protokolu. DEX vykonával verejný predaj svojho pôvodného tokenu MAGE, keď útočník vykonal hack.
AkoKryptozemiakyCertiK uviedol, že analýza incidentu naznačila, že k incidentu mohol viesť problém so správou súkromných kľúčov. Bezpečnostná firma uviedla, že v audite vykonanom v pondelok zdôraznila riziko centralizácie a odporučila spoločnosti Merlin prejsť na decentralizované mechanizmy, aby sa predišlo jednotlivým bodom kľúčového zlyhania.
Po ďalšej analýze Merlin a CertiK zistili, že hack bol internou úlohou tímu protokolu. Backendový tím implementoval funkciu call action, ktorá im poskytla kontrolu nad zmluvami a všetkými obchodnými pármi v súboroch likvidity.
Vývojári boli tiež schopní manipulovať s Merlinovými front-end zmluvami a webovým hostiteľom, čo im umožnilo vykonávať viaceré transakcie v reťazci, ktoré vyčerpali verejný predaj.
Našou neochvejnou prioritou je čo najrýchlejšie vrátiť všetky prostriedky dotknutým stranám a účastníkom na platforme Merlin. Spolupracujeme na tom @Certik (Tím DOXX z Prospero & Alatar Recovery Plan), aby sme odškodnili všetkých dotknutých používateľov.
— Merlin (@TheMerlinDEX) 26. apríla 2023
20% prémiový biely klobúk
Zatiaľ čo Merlin a CertiK vypracúvajú kompenzačný plán, informovali aj príslušné orgány o incidente a mieste pobytu nečestného technického tímu. Backendový tím bol vysledovaný do Srbska, Európy a boli informované miestne orgány.
Protokol tiež prijal analytikov v reťazci, aby monitorovali pohyb finančných prostriedkov. Ukradnutý majetok bol sledovaný v dvoch peňaženkách a v čase písania tohto článku tam stále boli.
Medzitým CertiK ponúkol dal vývojárom 20-percentnú odmenu za biely klobúk a vyzval ich, aby ju prijali, aby sa vyhli hnevu zákona.
.