" Фирма Web3, занимающаяся безопасностью, призывает разработчика-мошенника вернуть 80% украденных средств и предлагает 20% в качестве вознаграждения и статус белой шляпы.
Компания по обеспечению безопасности блокчейна CertiK запускает план компенсации для покрытия 2 миллионов долларов, потерянных во время публичной продажи токена децентрализованной биржи Merlin (MAGE).
В заявлении от 26 апреля CertiK подтвердила, что расследует мошенничество с выходом, а также привлекла оставшуюся команду Merlin для инициирования плана компенсации.
«Первоначальные расследования показывают, что мошеннические разработчики базируются в Европе, и CertiK будет сотрудничать с правоохранительными органами, чтобы выследить их, если прямые переговоры не увенчаются успехом», – говорится в сообщении.
Компания, занимающаяся безопасностью блокчейна, призывает разработчика-мошенника вернуть 80% украденных средств, уступив 20% в качестве вознаграждения «белой шляпы».
Фирма также указала, что привилегии закрытого ключа «предназначены для помощи затронутым пользователям», несмотря на то, что они выходят за рамки аудита смарт-контрактов.
Merlin потерял около 850 000 долларов США в USD Coin (USDC) и еще несколько относительно неликвидных токенов 26 апреля во время трехдневной публичной продажи токенов MAGE без жесткого ограничения. Данные блокчейна показывают, что хакер, контролирующий пул ликвидности, смог легко вывести средства.
«Эти две строки кода в функции инициализации, по сути, дают разрешение адресу feeTo на передачу неограниченного (type(uint256).max) количества token0 и token1 с адреса контракта. В этом случае адрес FeeTo потенциально может вызывать функцию TransferFrom для соответствующих токенов для передачи токенов с адреса контракта на себя. Как мог CertiKAlert не заметить это?», – пояснил в твиттере eZKalibur (@zkaliburDEX) 26 апреля 2023 г.
CertiK, которая провела аудит кода Merlin, ответила своими первоначальными выводами, указывающими на «потенциальную проблему с управлением закрытыми ключами».
«Мы активно расследуем инцидент c MerlinDEX. Первоначальные результаты указывают на потенциальную проблему управления закрытыми ключами, а не на эксплойт как основную причину. Хотя аудиты не могут предотвратить проблемы с закрытыми ключами, мы всегда выделяем лучшие практики для проектов. В случае обнаружения каких-либо нечестных действий мы будем работать с соответствующими органами и делиться соответствующей информацией. Следите за обновлениями», – говорится в сообщении CertiK 26 апреля 2023 г.
Криптотвиттер подверг сомнению аудит CertiK, подразумевая, что это может быть вытаскивание коврика.
Основатель Verichains Тхань Нгуен сослался на «черный ход», присутствующий в коде Merlin, заявив, что это «явная угроза безопасности, поскольку нет варианта использования, требующего его одобрения».
«Однако в коде Merlin есть «черный ход» (L87-88), который позволяет FeeTo MerlinFactory передавать все активы в паре в дополнение к комиссии в функции обмена. Этот бэкдор представляет явную угрозу безопасности, поскольку не существует варианта использования, требующего его одобрения», – написал в твиттере Тхань Нгуен (@redragonvn) 26 апреля 2023 г.
«Хотя аудиты могут выявлять потенциальные риски и уязвимости, они не могут предотвратить злонамеренные действия со стороны мошеннических разработчиков, такие как вытаскивание коврика, – говорится в заявлении CertiK. – Мы призываем пользователей искать проекты со значком KYC в качестве дополнительного уровня безопасности, означающего, что проект добровольно прошел процесс проверки KYC».
Фирма объяснила, что это может помочь снизить и смягчить риск внутренних угроз, таких как вытаскивание коврика.
CertiK заявила, что продолжит предоставлять обновленную информацию о своем плане компенсации и текущем расследовании.
